Il GDPR regola il trattamento dei dati personali. Nel contesto del trattamento dei dati relativi alla salute e alla genetica umana, determinare quando i dati sono considerati dati personali è di fondamentale importanza e, allo stesso tempo, una sfida.
Come descritto nella sezione "Principi principali della protezione dei dati", la natura intrinseca e le caratteristiche dei dati genetici umani sollevano sfide complesse non solo per la classificazione dei dati, ma anche per l'interpretazione e l'applicazione dei principi e delle normative sulla protezione dei dati nel loro insieme.
Per quanto riguarda il trattamento dei dati genetici umani negli ecosistemi clinici, sanitari e farmaceutici, inclusi gli scopi di ricerca, diventa sempre più difficile stabilire quando i dati genomici debbano essere considerati dati personali. Man mano che gli sviluppi tecnici e scientifici progrediscono, l'analisi dei dati genetici umani diventa sempre più specializzata e complessa, il che può portare alla segmentazione dei dati genetici in misura tale da ostacolare la classificazione come informazioni genetiche, informazioni sanitarie e dati personali o non personali.
Inoltre, i dati genetici umani sono spesso pseudonimizzati o trattati tramite mezzi automatizzati che cercano di eliminare gli elementi personali o identificabili di tali dati. Molto spesso, queste misure non garantiscono l'anonimizzazione irreversibile dei dati personali, dato che persiste un legame, seppur indiretto, con l'interessato a cui tali dati si riferiscono.
Contemporaneamente, i dati genetici possono essere considerati come dati personali intrinsecamente identificativi (anche nei casi in cui non vi siano ulteriori legami o impatti sull'interessato), poiché essi rappresentano, in sé, elementi che fanno parte inestricabilmente dell'identità di una persona.
Inoltre, un'altra sfida è l'interpretazione del concetto di "dati genetici umani" così come definito dalla legge. Le ambiguità scientifiche e legali associate a questo tipo di dati, nonché l'attuale tendenza alla frammentazione normativa e la mancanza di un approccio omogeneo, compromettono una definizione tangibile. Ciò genera rischi e minacce relative ai principi e ai requisiti di protezione dei dati esistenti, nonché la frammentazione delle potenzialità di regolamenti specifici, linee guida o buone pratiche per il trattamento dei dati genetici umani nell'UE.
Sebbene i concetti di dati genetici e dati relativi alla salute possano sovrapporsi, i dati genetici possono fornire indicazioni sullo stato di salute futuro di un interessato. Inoltre, i dati genetici possono rivelare informazioni riguardanti gruppi di individui (come la famiglia). Questo comporta anche complessità nell'applicazione dei principi e delle disposizioni sulla protezione dei dati, poiché la maggior parte dei sistemi giuridici adotta un approccio individualistico ai diritti di protezione dei dati.
Ogni trattamento di dati personali deve conformarsi al GDPR, considerato la legge più rigida sulla protezione dei dati al mondo. Quando i dati in questione sono dati sensibili - come i dati relativi alla salute e alla genetica - il processo diventa ancora più complicato, prima di tutto perché devono essere soddisfatti due presupposti legali cumulativi per garantire la legittimità del trattamento dei dati: una base legale generale per il trattamento di tutti i tipi di dati personali, prevista dall'Articolo 6(1) del GDPR, e una base legale specifica, necessaria solo per i dati sensibili, stabilita dall'Articolo 9(2) del GDPR.
Il mancato rispetto delle normative del GDPR potrebbe comportare pesanti sanzioni amministrative. L'Articolo 83 del GDPR prevede due livelli di multe: quelle meno severe possono arrivare fino a 10 milioni di euro, o nel caso di un'impresa, fino al 2% del fatturato annuale mondiale dell'esercizio precedente, a seconda di quale importo sia maggiore (Articolo 83(4) GDPR); mentre le infrazioni più gravi possono comportare una multa fino a 20 milioni di euro, o nel caso di un'impresa, fino al 4% del fatturato annuale mondiale dell'esercizio precedente, a seconda di quale importo sia maggiore (Articolo 83(5) GDPR). Inoltre, i titolari del trattamento e/o i responsabili del trattamento che, a causa della violazione del GDPR, abbiano causato danni materiali o non materiali a una persona fisica, potrebbero essere chiamati a risarcire i danni, ai sensi dell'Articolo 82 del GDPR.
Il GDPR non esclude la possibilità di sanzioni penali per la sua violazione, come previsto dalle leggi nazionali degli Stati membri.
Un modo per evitare di essere soggetti al GDPR - e quindi evitare le sue severe sanzioni - è operare con dati anonimizzati. Tuttavia, l'anonimizzazione completa è estremamente difficile da raggiungere, poiché anche il più piccolo dettaglio può rivelare l'identità della persona fisica. [2] Le sfide poste dall'anonimizzazione sono particolarmente severe per i dati sanitari e genetici. È stato detto che l'anonimizzazione è impossibile da ottenere, poiché è sempre possibile invertire il processo e identificare l'interessato. Questo è particolarmente vero per i dati genetici, che sono legati a caratteristiche identificative fondamentali della persona umana.
Il considerando 34 del GDPR estende la definizione di dati genetici a un concetto generale, che non solo include l'analisi cromosomica, del DNA o dell'RNA, ma anche tutti gli altri tipi di analisi che consentono di ottenere informazioni equivalenti. Pertanto, sebbene si possa suggerire che (i) non tutte le informazioni genetiche siano dati genetici; (ii) non tutte le informazioni genetiche siano dati personali; (iii) un campione genetico non è un dato personale fino a quando non consente di trarre conclusioni tramite analisi e produzione di dati; nonché che (iv) i dati derivanti dall'analisi dei dati genetici possono costituire dati personali solo nella misura in cui tali dati genetici siano associati a una persona identificabile, la definizione di dati personali inclusa nel GDPR è ampia e comprende qualsiasi identificazione tramite fattori specifici dell'identità genetica di un individuo, indipendentemente dai mezzi di analisi in questione.
Di conseguenza, l'effetto pratico di tale interpretazione ci porta alla conclusione che il trattamento dei dati genetici umani (che include marcatori genetici fondamentali univocamente legati a una persona), così come i risultati derivanti da tale trattamento, molto probabilmente costituiranno dati personali. Inoltre, il trattamento di determinate categorie speciali di dati personali, in particolare i dati genetici, deve conformarsi all'Articolo 9 del GDPR.
Inoltre, tutti i risultati derivanti dall'analisi dei dati genetici che sono legati a un campione biologico specifico sono solitamente dati personali, anche se i risultati stessi non sono unici per l'individuo, poiché il campione è per sua natura specifico per un individuo e fornisce il legame con la sua identità genetica specifica.
Tuttavia, va notato che in alcuni casi i dati genetici potrebbero non costituire dati personali. Supponiamo, ad esempio, che si tratti di informazioni anonimizzate (ad esempio, i risultati di un test genetico) che non possano più, in nessuna circostanza, essere associate a una persona specifica, a condizione che non vi siano ulteriori registrazioni sull'identità genetica né altri identificatori. Tuttavia, come visto, questo scenario non è comune in termini pratici.
In un documento del 2021, il European Data Protection Board (EDPB) ha riconosciuto la fallibilità delle tecniche di anonimizzazione riguardanti i dati genetici e ha raccomandato ai titolari del trattamento di trattare sempre tali dati come se fossero dati personali, anche quando presuntamente anonimizzati: "L'EDPB sottolinea che la possibilità di anonimizzare i dati genetici rimane una questione irrisolta. Finora, rimane aperto dimostrare se qualsiasi combinazione di mezzi tecnici e organizzativi possa essere effettivamente utilizzata per rimuovere le informazioni genetiche dall'ambito del GDPR (...) è fortemente consigliato che tali dati genetici siano trattati come dati personali e che il loro trattamento venga effettuato con l'implementazione di appropriate misure tecniche e organizzative per garantire la conformità al Regolamento" [3].
[2] Finck, M., & Pallas, F. They who must not be identified—distinguishing personal from non-personal data under the GDPR. International Data Privacy Law, 10(1), 11-36, 2020.
[3] European Data Protection Board, EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, 2 Febbraio, 2021.