Decreto legislativo - 30/06/2003 - n. 196 art. 110 bis - (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici) 1

Ambito applicativo dell'art. 110-bis

Presupposto unico per l'applicazione della norma in commento è l'impossibilità di rendere l'informativa ai sensi dell'art. 14 GDPR (vengono in considerazione dati trattati da terzi, ossia da soggetti che non li hanno raccolti direttamente). Devono sussistere cinque condizioni simultanee, ossia che: 1) venga in considerazione un trattamento ulteriore di dati personali, dunque diverso dalle finalità iniziali; 2) il soggetto che lo svolge sia, appunto, un terzo, dunque non l'originario titolare (sulla nozione di «terzo» si veda più avanti); 3) le finalità del trattamento ulteriore siano statistiche o di ricerca scientifica; 4) il terzo svolga tali attività «principalmente», il che introduce la necessità di chiarire tale avverbio; 5) la deroga all'informativa sia dovuta a «particolari ragioni», che andranno pertanto precisate dal titolare del trattamento, insieme al loro nesso causale con l'esercizio della deroga.

È appena il caso di avvertire che la finalità statistica e la finalità di ricerca scientifica individuano un ambito ben più ampio dello specifico settore medico oggetto della previsione dell'art. 110 cod. privacy, che dunque in caso di conflitto prevarrà in quanto lex specialis. Si noti altresì che nell'art. 110 non è fatta distinzione tra trattamento iniziale e trattamento ulteriore, sembrerebbe dunque ritenersi che la norma copra, ove applicabile, entrambe le ipotesi. Le due disposizioni, nonostante la prossimità di collocazione, hanno del resto oggetti distinti e si collegano a disposizioni europee parzialmente diverse. L'art. 110-bis concerne inoltre qualsiasi tipologia di dato personale – in mancanza di precisazioni normative –, dunque non solo dati sensibili, ma anche “comuni” e, deve ritenersi, giudiziari.

Giova notare, rispetto alla formulazione dell'art. 110-bis cod. privacy ante novella, che in seguito al d.lgs. n. 101/2018 è stata eliminata l'esclusione dei dati genetici dall'ambito applicativo, che dunque oggi sono certamente compresi nell'alveo della disposizione. La modifica in tal senso era stata espressamente caldeggiata dal Garante (cfr. GPDP 22 maggio 2018, n. 312 [9163359]).

«Terzo», «principalmente», «particolari ragioni»

Alcuni termini richiedono specifica precisazione: la nozione di «terzo», l'avverbio «principalmente», le «particolari ragioni». La nozione di «terzo», non precisata dalla disposizione in commento, va, per correttezza metodologica, collegata con l'identica definizione di cui all'art. 4.10) GDPR, ossia di soggetto diverso tanto dall'interessato quanto dal titolare e dalla sua “struttura di trattamento”, dunque da responsabili del trattamento e autorizzati. In sostanza, «terzo» va perciò inteso come un titolare diverso da quello che ha determinato il precedente trattamento. Quanto all'avverbio «principalmente», ci si è chiesti se vada riferito all'uso, caso per caso, dei dati ricevuti dal terzo, oppure se vada riferito all'attività tipica dei terzi, individuando dunque come soggetti all'art. 110-bis solo coloro che di regola e in via generale svolgono attività di ricerca scientifica o per fini statistici. «Principalmente» deve ritenersi inteso nel senso di core business, nella stessa accezione in cui viene intesa la nozione di «attività principali» rispetto agli obblighi di nomina del DPO, v. commento in quest'Opera, artt. 37-39 GDPR. Deve privilegiarsi quest'ultima lettura, non solo per le ragioni sistematiche appena esposte, ma perché la formulazione del testo («terzi che svolgano principalmente tali attività») orienta nella direzione predetta. Infine, «particolari ragioni» resta espressione indeterminata, che al più permette soltanto di precisare che, essendo le ragioni «particolari», esse devono riflettere il caso concreto.

Più in dettaglio: la deroga all'informativa

L'art. 14 par. 5, lett. b) GDPR dispone che le norme sul diritto all'informativa per dati personali raccolti indirettamente «non si applicano se e nella misura in cui [...] comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'art. 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni». La previsione citata si applica ex se, senza alcun intervento di mediazione del Garante, diversamente dall'abrogato art. 13.5.c) cod. privacy, che prima del d.lgs. n. 101/2018, consentiva il ricorso all'eccezione nei casi in cui «l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile». In definitiva, se ne ricava l'impressione che l'art. 110-bis rechi traccia di un'impostazione previgente al GDPR, costruita su un ruolo “interventista” dell'Autorità di controllo, oggi di incerta compatibilità con il disegno dell'Unione.

La base giuridica del trattamento

L'art. 110-bis non fornisce precisazioni rispetto alla base giuridica del trattamento, diversamente dall'art. 110. Preme notare che l'impostazione “consenso-centrica” che aveva connotato il d.lgs. n. 196/2003 prima del GDPR, non trova conforto nella disciplina dell'Unione. Il consenso dell'interessato non costituisce pertanto l'esclusivo presupposto di liceità del trattamento. Al contrario, nel caso siano trattati dati sensibili, è espressamente prevista una base naturale per l'attività di ricerca e statistica, all'art. 9.2.j) GDPR, da combinare con un'appropriata base di cui all'art. 6 GDPR, che può ben essere, per i privati, quella della lett. f), legittimo interesse previo esperimento positivo di un'analisi di bilanciamento con il rischio per l'interessato (detta anche “LIA”, legitimate interest assessment). Potrà altresì essere la base della lett. e), compito di interesse pubblico o connesso all'esercizio di pubblici poteri o ancora, se del caso, quella della lett. c). Va altresì notato che, soprattutto rispetto ai dati “comuni”, cioè non sensibili e non giudiziari, il trattamento per finalità di ricerca scientifica o per finalità statistiche non determina, di regola, soluzione di continuità rispetto alle finalità iniziali, come precisato dal considerando 50 GDPR: «L'ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell'Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l'ulteriore trattamento». L'EDPB si mostra particolarmente cauto in proposito, riservandosi futuri approfondimenti, cfr. Parere 3/2019, § 31 e Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, 2.2.2021, § 21.

Autorizzazione del Garante e accountability

Concretamente, la liceità del trattamento ai sensi dell'art. 110-bis cod. privacy è condizionata all'ottenimento dell'autorizzazione del Garante, secondo un meccanismo di silenzio-rigetto, decorsi quarantacinque giorni dall'istanza del titolare del trattamento. Merita tuttavia notare che è espressamente ammessa – cfr. comma 3 – anche la possibilità che l'Autorità di controllo faccia ricorso allo strumento dell'autorizzazione generale, ossia a un insieme di regole generali e preventive per categorie di titolari e di trattamenti, che assicura, rispetto all'autorizzazione ad hoc, il triplice vantaggio di un risparmio di energie procedimentali amministrative, economia di tempo per il titolare e prevedibilità della tutela e del risultato. Nonostante tali indubbi benefici, l'autorizzazione generale si palesa come un lascito del sistema ante-GDPR; assicura al Garante un ruolo marcatamente interventista e sostitutivo rispetto al titolare del trattamento, la cui reale compatibilità con il Regolamento richiede cauta riflessione. Deve osservarsi che l'art. 89, par. 1 GDPR, sul quale l'art. 110-bis nazionale è espressamente costruito, non postula l'introduzione di interventi autorizzatori da parte dell'Autorità, ma è modellato, come del resto l'art. 14.5, lett. b) più sopra richiamato, sul ben diverso principio di accountability, dunque su una prudente assunzione di responsabilità da parte del titolare del trattamento (nella specie del terzo che sviluppa il trattamento ulteriore), concetto, per il quale si rimanda al commento all'art. 5, par. 2 GDPR in quest'opera. Ciò, come già notato, pone all'interprete la questione di verificare la compatibilità della soluzione nazionale con l'assetto unionale. Potrebbe soccorrere a tale proposito l'art. 6, par. 2 GDPR che con riferimento alla base c), obbligo giuridico, permette il mantenimento o l'introduzione di misure nazionali di adeguamento più specifiche, che determinino con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantirne liceità e correttezza, tuttavia la previsione non sembra poter essere ridotta a una delega “in bianco” all'Autorità garante. Sotto altro profilo, l'intervento di quest'ultima potrebbe essere in astratto riconducibile anche all'art. 58, par. 6 GDPR, ancorché l'ampiezza di poteri resa ammissibile da tale disposizione non sembri interpretabile nel senso dell'attribuzione di competenze ontologicamente diverse rispetto a quelle descritte ai paragrafi da 1 a 3 del medesimo articolo. L'autorizzazione generale appare concettualmente dunque come una reliquia del passato, la cui compatibilità con il GDPR si presenta incerta fuori dalle ipotesi effettivamente compatibili con l'art. 36.5 GDPR. Va notato in proposito che l'abrogazione dell'art. 2-quinquiesdecies cod. priv., che costituiva la sedes materiae nazionale di declinazione dell'art. 36.5, rende quantomeno dubbia la riconducibilità alla citata previsione unionale.

Più in dettaglio: dati anonimizzati

Come ricordato, il primo comma dell'art. 110-bis prevede la condizione che «siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, in conformità all'articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati». Mentre è fuori discussione che queste condizioni possano essere decise sia autonomamente, per loro accountability, dai titolari coinvolti sia essere preventivamente individuate e prescritte in dettaglio nell'autorizzazione del Garante, appaiono necessarie alcune precisazioni. Va in proposito notato che, una volta che il dato è stato anonimizzato, ed è stata garantita tale perdurante non re-identificabilità, la disciplina in materia di protezione dei dati personali – quindi anche i vincoli ex art. 110-bis – non si applica. In definitiva, cioè, quando l'anonimizzazione dei dati sia posta in essere già spontaneamente a monte, nel perimetro esclusivo di titolarità originaria, ossia al livello della fonte dei dati che saranno destinati poi al terzo, per quest'ultimo verrebbe meno la rilevanza applicativa dell'art. 110-bis e dell'intera disciplina del GDPR. Orbene, poiché sia il comma 2 (autorizzazione speciale con silenzio-rigetto entro 45 giorni) sia il comma 3 (autorizzazione generale adottata d'ufficio anche in relazione a determinate categorie di titolari e di trattamenti) riferiscono letteralmente le autorizzazioni del Garante al «trattamento ulteriore dei dati personali da parte di terzi», e non da parte del titolare originario, la trasformazione in dati anonimi sembrerebbe rilevare nella disposizione in commento unicamente come attività pianificata dai terzi che riceveranno i dati personali o, più verosimilmente, come misura imposta dal Garante a costoro o, al limite, al cessionario per consentire la trasmissione ai terzi, fermo restando che, una volta applicata l'anonimizzazione, si fuoriesce dal perimetro del Regolamento. La disposizione nazionale reca qui un calco, in parte superfluo, dell'art. 89 GDPR, che al par. 1 impone che, tutte le volte in cui sia possibile anonimizzare si debba necessariamente farlo.

Giova evidenziare che tra le misure indicate dal paragrafo citato viene annoverata altresì la pseudonimizzazione, che va ricondotta alla famiglia della minimizzazione e delle misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato. Va rammentato, in applicazione del cons. 26GDPR, che ove il soggetto terzo che riceve i dati personali non sia ragionevolmente in grado di risalire alle persone fisiche a cui si riferiscono gli pseudonimi, si assiste a un fenomeno di dissociazione, per il quale gli stessi dati sono pseudonimizzati, e dunque personali, rispetto al soggetto che li comunica e anonimi rispetto al soggetto che li riceve, cfr. Tribunale presso la Corte di Giustizia dell'Unione, v. sotto.

CGUE, 26 aprile 2023, SRB (CRU), T-557/20, punto 94: «Nel caso di specie, è pacifico, da un lato, che il codice alfanumerico figurante sulle informazioni trasmesse a XX non consentiva di per sé di identificare gli autori delle osservazioni e, dall'altro, che XX non aveva accesso ai dati identificativi ricevuti durante la fase di iscrizione che consentivano di collegare i partecipanti alle loro osservazioni grazie al codice alfanumerico» (Il destinatario cioè non ha accesso ai dati ulteriori né legalmente può ragionevolmente averlo, n.d.a.).

“Contagi” di “contitolarità”

Il tema del rapporto tra titolare originario e terzi destinatari si presta a essere esaminato anche rispetto all'individuazione eventuale (e tutt'altro che automatica) di una contitolarità tra il titolare originario e i terzi. Il Garante ha infatti, in passato, sebbene in ambiti limitrofi ma non coincidenti con questo regolato dall'art. 110-bis (si veda il recente Provvedimento del 1° giugno 2023 sul caso “THIN” – GPDP doc. web n. 9913795) considerato, nella sostanza, come titolari o contitolari del trattamento, già alla fonte e nel perimetro del titolare primario, anche i soggetti “investitori”, perché portatori di interessi propri (come committenti di iniziative e operazioni che implicavano l'anonimizzazione) di ricerca o anche di natura imprenditoriale, per lo sviluppo industriale o commerciale di processi, prodotti o servizi, e perché, in quella posizione, fornivano impostazioni e indicazioni tecniche e organizzative al titolare primario, su cosa e come anonimizzare prima di trasmettere loro i dati ormai anonimi. Questo orientamento meriterà, ad avviso di chi scrive e complice l'avvento progressivo e rivoluzionario dei vari regolamenti UE derivanti dalla Strategia Europea dei Dati – Data Governance Act (Reg. (UE) n. 2022/868), Data Act e regolamenti sugli spazi europei dei dati – un ripensamento critico. In primo luogo, l'apporto tecnico (es. come anonimizzare i dati) non è concettualmente equivalente a determinare né le finalità né i mezzi (termine da intendere nel senso, non intuitivo, che assume in EDPB, linee guida 7/2020, vers. 2.0, § 40). Appare invero come attività strumentale, svolta al servizio di finalità e mezzi determinati da altri. Inoltre, esigere che l'anonimizzazione, come trattamento in sé, debba essere sempre e comunque spontanea, autogestita (autarchica) e priva di investimenti terzi – per evitare “contagi di titolarità terza” – sembra ictu oculi, certamente, una ragione (giuridicamente) pura; rischia però di rivelarsi, purtroppo, una soluzione inidonea ad assicurare l'aderenza allo stato dell'arte e costituisce ipotesi scollegata dalla realtà concreta, poiché l'anonimizzazione (come anche la pseudonimizzazione) richiede normalmente un know how specialistico e importanti investimenti tecnici e organizzativi di cui titolari originari (es. medici di medicina generale, singole strutture sanitarie del territorio, PMI) è arduo credere possano disporre. Chi li ha e li può investire, questi mezzi, è inevitabilmente chi ha un interesse al trattamento ulteriore dei dati, per il proprio core business (sia esso di ricerca scientifica o statistico o di ricerca e sviluppo). Inseguendo l'interesse e gli investimenti come criteri per l'attribuzione di titolarità al terzo, malgrado l'anonimizzazione si esaurisca nel perimetro di titolarità primaria/originaria, ecco che il “contagio di titolarità terza” scatterà sempre e comunque. Essere considerati titolari o contitolari del trattamento implicherebbe, per soggetti terzi privi di qualsiasi disponibilità e accessibilità dei dati, un'assunzione di pesanti – talvolta bloccanti – responsabilità giuridiche, in termini di trasparenza, liceità (in primis, per obbligo di sussistenza di idonee basi giuridiche), adozione di misure tecniche e organizzative adeguate e molto altro ancora. Eppure, senza gli investimenti dei terzi, mossi da loro propri obiettivi secondari di ricerca o sviluppo, non si troverebbero, verosimilmente, le conoscenze e i mezzi per un'adeguata anonimizzazione dei dati alla fonte.

L'eccezione per gli IRCCS

Il quarto comma dell'art. 110-bis prevede che non costituisca un “trattamento ulteriore da parte di terzi” (e che quindi, per esso, non si applichino i primi tre commi del medesimo articolo) il trattamento dei dati personali raccolti per l'attività clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati (IRCCS), in ragione del carattere strumentale dell'attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca. La disposizione in esame pone l'interprete innanzi a diversi dubbi. In primo luogo, se è vero che le fattispecie di utilizzo ulteriore e secondario, senza informativa e consenso, dei dati relativi alla salute (si noti bene, non di tutti i dati sensibili / di categorie particolari) per finalità di ricerca scientifica in campo medico, biomedico ed epidemiologico sono regolate dall'art. 110 cod. privacy, per ragioni di specialità, dovremmo considerare questo art. 110-bis riferibile a:

a) tutti i campi diversi da quello medico, biomedico ed epidemiologico, compresi i dati relativi alla salute; e

b) il campo medico, biomedico ed epidemiologico, esclusi i dati relativi alla salute (che sono comunque la maggior parte, in quel campo).

Alla luce di quanto sopra, ci si chiede se il comma 4 dell'art. 110-bis debba invece essere considerato a sua volta una norma a connotazione speciale, e quindi si debba ricomprendere nel novero rilevante per gli IRCCS – i quali, non c'è dubbio, ricadono nel campo medico, biomedico ed epidemiologico – anche le tipologie di dati relativi alla salute, malgrado l'art. 110 cod. privacy.

Inoltre, questo comma si riferisce al caso di un IRCCS che riceva dati da altri titolari primari e originari (diversi dall'IRCCS destinatario dei dati), ovvero al caso di una ri-destinazione, interna al medesimo IRCCS, di dati originariamente raccolti e trattati per fini clinici, da trattarsi ulteriormente per scopi di ricerca scientifica? Ad avviso di chi scrive, la prima interpretazione – IRCCS soggetto terzo e distinto rispetto ad altri titolari primari e originari – si conferma come la più convincente, corrispondendo alla lettera e alla ratio nella filigrana di questo comma, oltre che la più armonica con il concetto di “trattamento ulteriore” (posto in sostituzione dell'improprio termine “riutilizzo” nelle fasi di definizione del d.lgs. n. 101/2018, in coerenza con il Parere reso nel 2018 dal Garante sulla bozza dello stesso decreto); peraltro, tale interpretazione si sposerebbe con quanto sostenuto supra nel commento a questo articolo, con riferimento alla qualificazione giuridica del “terzo”.

Rimane un quesito di fondo: l'esclusione dei trattamenti ulteriori operati dagli IRCCS dal perimetro del “trattamento ulteriore da parte di terzi”, al quale si applicano i commi da 1 a 3 dell'art. 110-bis cod. privacy, costituisce una perdita di facoltà (di trattare ulteriormente i dati, anche sensibili, senza informative né basi di consenso per fini di ricerca) per gli IRCCS – al più applicandosi anche ad essi, per i dati relativi alla salute, l'art. 110 cod. privacy – o il legislatore vuole intendere che tale opportunità di trattamento ulteriore sia ammessa senza bisogno di previe autorizzazioni del Garante? Si propende per tale seconda soluzione interpretativa, coerente con il principio di compatibilità delle finalità di ricerca exartt. 5.1.b), 6 par. 3 e 4,9.2.h)-j) del GDPR, benché permanga un margine d'incertezza.

A chiarire molti dei dubbi interpretativi sopra indicati sono intervenute le FAQ  del Garante per gli IRCCS (Doc-Web10024215 del 06/06/24), che prevedono uno specifico quesito su quali basi giuridiche possono utilizzare gli IRCSS per trattare i dati personali precedentemente raccolti per finalità di cura per ulteriori scopi di ricerca. In tal senso, dopo aver ricordato che gli IRCCS devono individuare “tra quelle previste dal Regolamento, una base giuridica in concreto idonea a legittimare il trattamento dei dati personali per la realizzazione di progetti di ricerca scientifica, inerente le linee di ricerca di propria competenza, autorizzate dal Ministero della salute” nonché una deroga al divieto di trattamento dei dati sensibili ai sensi dell'articolo 9 del Regolamento, precisa che le basi giuridiche utilizzabili sono due. In primo luogo, il consenso, che deve essere “preventivo, specifico (ossia riferito ad un singolo progetto di ricerca, redatto conformemente alla norme di settore), libero, informato (ossia preceduto da idonea informativa sul trattamento), espresso, inequivocabile, reso o documentato per iscritto e sempre revocabile”. In secondo luogo, e in alternativa, gli IRCCS possono fondare il trattamento dei dati personali raccolti per scopi di cura per ulteriori finalità di ricerca in campo medico, biomedico e epidemiologico sull'art. 110-bis, comma 4 del Codice. Infatti, il Garante precisa che tale norma “costituisce una di quelle disposizioni di legge, che si inseriscono nello spazio di normazione lasciato agli Stati membri, ai sensi dell'art. 9, par. 2, lett. j) del Regolamento, alle quali fa riferimento l'art. 110 (primo comma, primo periodo) del Codice nella parte in cui prevede che: “1. Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, [...] ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento””. Di conseguenza, ove gli IRCCS utilizzino tale base giuridica, dovranno procedere alla pubblicazione di una valutazione di impatto sui propri siti web (salvo che tale pubblicazione leda segreti commerciali o diritti di proprietà intellettuale, nel qual caso si potrà effettuare una pubblicazione per estratto). Ove la valutazione di impatto indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare per attenuare il rischio, gli IRCCS dovranno inoltre svolgere la consultazione preventiva presso il Garante ai sensi dell'articolo 36 del Regolamento.