• Domande frequenti
  • Glossario
Chiudi

Domande frequenti

Why are animal models used when testing the safety of a new therapy?
What role do preclinical and clinical trials play in ensuring patient safety?
Why are some conditions more suitable for gene and cell therapies than others?
There is an approved treatment available for my condition - why can't I receive it?
How to look for approved medicines?
How are medicines developed and approved?

Vedi tutte le FAQ

Chiudi

Glossario

Accelerated assessment
Adeno-associated virus (AAV)
Adenovirus
Adult stem cells
Advanced Therapy Investigational Medicinal Product (ATIMP)
Advanced Therapy Medicinal Product (ATMP)
Advertising 
Antibody
Antigen
Base editors

Vedi il Glossario completo

Classificazione dei dati

Si prega di notare che, sebbene questa voce sia stata tradotta in italiano da un giurista sulla base delle versioni francese e inglese e della documentazione normativa di riferimento, potrebbero comunque sussistere errori.

Introduzione

La natura del tipo di dati in questione è cruciale, in quanto determinerà le norme legali applicabili. Se i dati non sono considerati dati personali, non ci saranno particolari questioni relative alla protezione dei dati da trattare, poiché il Regolamento Generale sulla Protezione dei Dati (GDPR), il principale testo normativo vincolante applicabile nell'Unione Europea (UE), si applica solo ai dati personali. Il concetto di dati personali svolge un ruolo fondamentale nel GDPR, caratterizzando il suo ambito materiale. Le disposizioni del GDPR riguardano solo i dati personali, escludendo i dati che: 

  • non riguardano gli esseri umani (ad esempio, i dati su fenomeni naturali),
  • i dati che, pur riguardando esseri umani, non si riferiscono a individui specifici perché sono dati anonimizzati, ossia dati che hanno perso il loro legame con individui specifici (anche se il successo effettivo delle tecniche di anonimizzazione deve ancora essere dimostrato).

Nel campo dei dati personali, esiste una categoria speciale di dati, definita come "dati sensibili" dall'Articolo 9 del GDPR, che include in particolare i dati genetici e i dati relativi alla salute. Questi dati richiedono una protezione aggiuntiva, poiché possono toccare il nucleo stesso dell'essere umano e quindi una divulgazione non autorizzata potrebbe portare a varie forme di discriminazione e violazione dei diritti fondamentali. La natura speciale dei dati sensibili si collega ai requisiti per il trattamento dei dati: qualsiasi tipo di dato personale richiede una base legale che ne consenta il trattamento, come stabilito nell'Articolo 6(1) del GDPR; tuttavia, quando si tratta di dati sensibili, è necessaria una base legale aggiuntiva, che si trova nell'Articolo 9(2) del GDPR.

Il 3 maggio 2022, la Commissione Europea ha lanciato la proposta di regolamento per lo Spazio Europeo dei Dati Sanitari (EHDS), destinato a diventare un elemento centrale dell'Unione Europea della Salute. Considerando il valore che i dati sanitari hanno oggi, ma anche le difficoltà stringenti imposte dal GDPR sul loro utilizzo nell'UE, l'obiettivo di questo testo legale è facilitare l'uso, il riutilizzo e la condivisione dei dati sanitari elettronici, sia personali che non personali.

La proposta di regolamento EHDS disciplinerebbe ogni questione relativa ai "dati sanitari elettronici", un concetto che ha un ambito molto ampio, in quanto include anche i dati relativi al benessere e allo stile di vita. Questo regolamento si basa su una concezione complessiva degli scopi per i quali i dati possono essere riutilizzati (cioè, usi secondari): assistenza sanitaria, ovviamente, ma anche ricerca, sviluppo, sperimentazione di sistemi di intelligenza artificiale e redazione di politiche sanitarie. Si noti che qualsiasi forma di scopo commerciale, a scopo di lucro, è esclusa.

Nella parte relativa ai dati personali, la futura proposta di regolamento EHDS deve essere letta in combinazione con il GDPR per evitare conflitti tra i due regolamenti, ma fino a questo momento la relazione tra questi due regolamenti è ancora dubbia.

Attraverso lo sviluppo della terapia genica e cellulare, tutti questi diversi tipi di dati potrebbero essere utilizzati: dati non personali, dati personali e, più specificamente, dati sensibili come i dati genetici o relativi alla salute, nonché i dati sanitari elettronici.

Attori principali

Ai sensi del GDPR, i principali soggetti coinvolti sono i titolari del trattamento, i responsabili del trattamento e gli interessati.

I titolari del trattamento sono le persone fisiche (persone umane) o giuridiche (persone non umane) che determinano quali dati saranno trattati, per quale scopo e con quali mezzi (Articolo 4(7) GDPR).

I responsabili del trattamento sono le persone fisiche o giuridiche che trattano i dati personali per conto del titolare del trattamento. I responsabili del trattamento non sono sempre necessari, poiché il titolare del trattamento stesso può essere responsabile per tutti questi compiti (Articolo 4(8) GDPR).

L'interessato è la persona fisica (pertanto solo persone umane, non aziende o altre persone giuridiche) a cui si riferiscono i dati personali.

Le attività di trattamento dei dati da parte dei titolari del trattamento e dei responsabili del trattamento sono monitorate dalle autorità nazionali e regionali per la protezione dei dati, che hanno il potere di imporre le pesanti multe previste dal GDPR.

La proposta di regolamento EHDS introdurrebbe una nuova categoria di soggetti rilevanti: destinatari dei dati, titolari dei dati, utenti dei dati e enti per l'accesso ai dati sanitari.

Il destinatario dei dati sarebbe la persona fisica o giuridica che riceve i dati da un altro titolare del trattamento nell'ambito dell'uso primario dei dati sanitari elettronici (Articolo 2(2)(k) della proposta di regolamento EHDS).

Il titolare dei dati sarebbe la persona fisica o giuridica che opera nel settore sanitario (come fornitore di servizi sanitari, ricercatore, sviluppatore di strumenti medici basati sull'IA, entità o istituzione incaricata di monitorare l'attività di un altro soggetto), che ha sotto il proprio controllo i dati sanitari elettronici, da trasmettere ai destinatari dei dati per gli usi primari di tali dati, o agli utenti dei dati in questione (Articolo 2(2)(y) della proposta di regolamento EHDS).

L'utente dei dati è la persona fisica o giuridica che ha accesso legittimo ai dati sanitari elettronici per usi secondari (Articolo 2(2)(z) della proposta di regolamento EHDS).

Gli enti per l'accesso ai dati sanitari sarebbero autorità amministrative da creare negli Stati membri per svolgere i compiti elencati nell'Articolo 27 della proposta di regolamento EHDS, ossia rilasciare i permessi di accesso ai dati che consentiranno agli utenti dei dati di accedere ai dati sanitari elettronici per scopi secondari, presumibilmente in modo trasparente, semplificato e sicuro. Quando ciò avverrà, gli enti per l'accesso ai dati sanitari e gli utenti dei dati saranno entrambi titolari del trattamento (titolari congiunti).

Definizioni

Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (l'interessato). La categoria dei dati personali definisce l'ambito del GDPR, poiché le sue rigide normative si applicano esclusivamente ai dati personali. (Articolo 4(1) GDPR)

Persona identificabile: la persona fisica che non è nota al momento, ma che può essere identificata utilizzando determinati dati identificativi, come il nome, il numero di identificazione nazionale, un identificatore online, ecc. (Articolo 4(1) GDPR)

Trattamento dei dati: l'operazione o insieme di operazioni eseguite sui dati personali, con o senza l'ausilio di mezzi automatizzati. (Articolo 4(2) GDPR)

Dati pseudonimizzati: sono dati che non possono più essere attribuiti a una persona fisica specifica, salvo che non vengano combinati con altre informazioni, mantenute separatamente da tali dati. Il GDPR non fornisce una definizione legale di questo concetto, ma definisce la ‘pseudonimizzazione’ nell'Articolo 4(5).

Dati anonimizzati: sono, a contrario sensu dell'Articolo 4(1) del GDPR, dati che non consentono l'identificazione della persona a cui si riferiscono (ad esempio, i dati aggregati). Perché i dati diventino anonimizzati, devono essere sottoposti a un processo di anonimizzazione. È stato detto che i dati genetici non sono mai veramente anonimi. Secondo gli autori di un articolo pubblicato nel 2019 su Nature, "anche i dataset anonimizzati ampiamente campionati [gli autori si riferiscono ai dataset genetici] difficilmente soddisferanno gli attuali standard di anonimizzazione stabiliti dal GDPR e mettono seriamente in discussione l'adeguatezza tecnica e legale del modello di de-identificazione rilascio-e-dimentica". [1]

Dati genetici: sono dati personali "relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni uniche sulla fisiologia o sulla salute di tale persona fisica e che risultano, in particolare, da un'analisi di un campione biologico della persona fisica in questione". (Articolo 4(13) GDPR)

Dati relativi alla salute: sono "dati personali relativi alla salute fisica o mentale di una persona fisica, inclusi i servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute". (o, come si fa riferimento nell'Articolo 4(15) del GDPR, "dati relativi alla salute")

Secondo l'Articolo 9(1) del GDPR, i dati sensibili sono quelli che rivelano "l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza a sindacati, e il trattamento dei dati genetici, dei dati biometrici per l'identificazione unica di una persona fisica, dei dati relativi alla salute o dei dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica". I dati sensibili costituiscono una categoria speciale di dati personali, la cui protezione legale è più rigorosa a causa del legame intimo tra questi dati e la persona umana. Questa caratteristica potrebbe potenzialmente portare a gravi minacce ai diritti fondamentali dell'interessato in caso di trattamento non autorizzato e/o violazione dei dati che coinvolgono questi dati. Pertanto, il trattamento di tale tipo di dati è, come regola, vietato dall'Articolo 9(1) del GDPR, a meno che non sia soddisfatta una delle condizioni previste nell'Articolo 9(2) del GDPR nel caso specifico.

"Dati sanitari elettronici personali" è un concetto introdotto dalla proposta di regolamento EHDS, che si riferisce ai dati relativi alla salute e ai dati genetici come definiti nel Regolamento (UE) 2016/679, nonché ai dati relativi ai determinanti della salute o ai dati trattati in relazione alla fornitura di servizi sanitari, trattati in formato elettronico. (Articolo 2(2)(a) della proposta di regolamento EHDS)

 

[1] Rocher, L., Hendrickx, J.M. & de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 10, 3069 (2019). https://doi.org/10.1038/s41467-019-10933-3.

Problematiche

Il GDPR regola il trattamento dei dati personali. Nel contesto del trattamento dei dati relativi alla salute e alla genetica umana, determinare quando i dati sono considerati dati personali è di fondamentale importanza e, allo stesso tempo, una sfida.

Come descritto nella sezione "Principi principali della protezione dei dati", la natura intrinseca e le caratteristiche dei dati genetici umani sollevano sfide complesse non solo per la classificazione dei dati, ma anche per l'interpretazione e l'applicazione dei principi e delle normative sulla protezione dei dati nel loro insieme.

Per quanto riguarda il trattamento dei dati genetici umani negli ecosistemi clinici, sanitari e farmaceutici, inclusi gli scopi di ricerca, diventa sempre più difficile stabilire quando i dati genomici debbano essere considerati dati personali. Man mano che gli sviluppi tecnici e scientifici progrediscono, l'analisi dei dati genetici umani diventa sempre più specializzata e complessa, il che può portare alla segmentazione dei dati genetici in misura tale da ostacolare la classificazione come informazioni genetiche, informazioni sanitarie e dati personali o non personali.

Inoltre, i dati genetici umani sono spesso pseudonimizzati o trattati tramite mezzi automatizzati che cercano di eliminare gli elementi personali o identificabili di tali dati. Molto spesso, queste misure non garantiscono l'anonimizzazione irreversibile dei dati personali, dato che persiste un legame, seppur indiretto, con l'interessato a cui tali dati si riferiscono.

Contemporaneamente, i dati genetici possono essere considerati come dati personali intrinsecamente identificativi (anche nei casi in cui non vi siano ulteriori legami o impatti sull'interessato), poiché essi rappresentano, in sé, elementi che fanno parte inestricabilmente dell'identità di una persona.

Inoltre, un'altra sfida è l'interpretazione del concetto di "dati genetici umani" così come definito dalla legge. Le ambiguità scientifiche e legali associate a questo tipo di dati, nonché l'attuale tendenza alla frammentazione normativa e la mancanza di un approccio omogeneo, compromettono una definizione tangibile. Ciò genera rischi e minacce relative ai principi e ai requisiti di protezione dei dati esistenti, nonché la frammentazione delle potenzialità di regolamenti specifici, linee guida o buone pratiche per il trattamento dei dati genetici umani nell'UE.

Sebbene i concetti di dati genetici e dati relativi alla salute possano sovrapporsi, i dati genetici possono fornire indicazioni sullo stato di salute futuro di un interessato. Inoltre, i dati genetici possono rivelare informazioni riguardanti gruppi di individui (come la famiglia). Questo comporta anche complessità nell'applicazione dei principi e delle disposizioni sulla protezione dei dati, poiché la maggior parte dei sistemi giuridici adotta un approccio individualistico ai diritti di protezione dei dati.

Ogni trattamento di dati personali deve conformarsi al GDPR, considerato la legge più rigida sulla protezione dei dati al mondo. Quando i dati in questione sono dati sensibili - come i dati relativi alla salute e alla genetica - il processo diventa ancora più complicato, prima di tutto perché devono essere soddisfatti due presupposti legali cumulativi per garantire la legittimità del trattamento dei dati: una base legale generale per il trattamento di tutti i tipi di dati personali, prevista dall'Articolo 6(1) del GDPR, e una base legale specifica, necessaria solo per i dati sensibili, stabilita dall'Articolo 9(2) del GDPR.

Il mancato rispetto delle normative del GDPR potrebbe comportare pesanti sanzioni amministrative. L'Articolo 83 del GDPR prevede due livelli di multe: quelle meno severe possono arrivare fino a 10 milioni di euro, o nel caso di un'impresa, fino al 2% del fatturato annuale mondiale dell'esercizio precedente, a seconda di quale importo sia maggiore (Articolo 83(4) GDPR); mentre le infrazioni più gravi possono comportare una multa fino a 20 milioni di euro, o nel caso di un'impresa, fino al 4% del fatturato annuale mondiale dell'esercizio precedente, a seconda di quale importo sia maggiore (Articolo 83(5) GDPR). Inoltre, i titolari del trattamento e/o i responsabili del trattamento che, a causa della violazione del GDPR, abbiano causato danni materiali o non materiali a una persona fisica, potrebbero essere chiamati a risarcire i danni, ai sensi dell'Articolo 82 del GDPR.

Il GDPR non esclude la possibilità di sanzioni penali per la sua violazione, come previsto dalle leggi nazionali degli Stati membri.

Un modo per evitare di essere soggetti al GDPR - e quindi evitare le sue severe sanzioni - è operare con dati anonimizzati. Tuttavia, l'anonimizzazione completa è estremamente difficile da raggiungere, poiché anche il più piccolo dettaglio può rivelare l'identità della persona fisica. [2] Le sfide poste dall'anonimizzazione sono particolarmente severe per i dati sanitari e genetici. È stato detto che l'anonimizzazione è impossibile da ottenere, poiché è sempre possibile invertire il processo e identificare l'interessato. Questo è particolarmente vero per i dati genetici, che sono legati a caratteristiche identificative fondamentali della persona umana.

Il considerando 34 del GDPR estende la definizione di dati genetici a un concetto generale, che non solo include l'analisi cromosomica, del DNA o dell'RNA, ma anche tutti gli altri tipi di analisi che consentono di ottenere informazioni equivalenti. Pertanto, sebbene si possa suggerire che (i) non tutte le informazioni genetiche siano dati genetici; (ii) non tutte le informazioni genetiche siano dati personali; (iii) un campione genetico non è un dato personale fino a quando non consente di trarre conclusioni tramite analisi e produzione di dati; nonché che (iv) i dati derivanti dall'analisi dei dati genetici possono costituire dati personali solo nella misura in cui tali dati genetici siano associati a una persona identificabile, la definizione di dati personali inclusa nel GDPR è ampia e comprende qualsiasi identificazione tramite fattori specifici dell'identità genetica di un individuo, indipendentemente dai mezzi di analisi in questione.

Di conseguenza, l'effetto pratico di tale interpretazione ci porta alla conclusione che il trattamento dei dati genetici umani (che include marcatori genetici fondamentali univocamente legati a una persona), così come i risultati derivanti da tale trattamento, molto probabilmente costituiranno dati personali. Inoltre, il trattamento di determinate categorie speciali di dati personali, in particolare i dati genetici, deve conformarsi all'Articolo 9 del GDPR.

Inoltre, tutti i risultati derivanti dall'analisi dei dati genetici che sono legati a un campione biologico specifico sono solitamente dati personali, anche se i risultati stessi non sono unici per l'individuo, poiché il campione è per sua natura specifico per un individuo e fornisce il legame con la sua identità genetica specifica.

Tuttavia, va notato che in alcuni casi i dati genetici potrebbero non costituire dati personali. Supponiamo, ad esempio, che si tratti di informazioni anonimizzate (ad esempio, i risultati di un test genetico) che non possano più, in nessuna circostanza, essere associate a una persona specifica, a condizione che non vi siano ulteriori registrazioni sull'identità genetica né altri identificatori. Tuttavia, come visto, questo scenario non è comune in termini pratici.

In un documento del 2021, il European Data Protection Board (EDPB) ha riconosciuto la fallibilità delle tecniche di anonimizzazione riguardanti i dati genetici e ha raccomandato ai titolari del trattamento di trattare sempre tali dati come se fossero dati personali, anche quando presuntamente anonimizzati: "L'EDPB sottolinea che la possibilità di anonimizzare i dati genetici rimane una questione irrisolta. Finora, rimane aperto dimostrare se qualsiasi combinazione di mezzi tecnici e organizzativi possa essere effettivamente utilizzata per rimuovere le informazioni genetiche dall'ambito del GDPR (...) è fortemente consigliato che tali dati genetici siano trattati come dati personali e che il loro trattamento venga effettuato con l'implementazione di appropriate misure tecniche e organizzative per garantire la conformità al Regolamento" [3].

 

[2] Finck, M., & Pallas, F. They who must not be identified—distinguishing personal from non-personal data under the GDPRInternational Data Privacy Law10(1), 11-36, 2020.
[3] European Data Protection Board, EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, 2 Febbraio, 2021.

Opportunità e incentivi

La Commissione Europea ha già osservato che c'è un enorme volume di dati non utilizzati nell'UE (eventualmente a causa delle limitazioni imposte dal GDPR e dalla paura di violare le sue normative), il che ha portato a enormi perdite finanziarie e minato il nostro sviluppo tecnologico. La proposta di regolamento EHDS mira a rispondere a queste esigenze, creando un regime più flessibile per operare con i dati sanitari elettronici. Contrariamente al GDPR, che restringe fortemente l'uso, il riuso e la condivisione dei dati personali, la proposta di regolamento EHDS mira a promuovere tutte queste attività. Una delle sue norme più promettenti è l'Articolo 34, che stabilisce i requisiti per l'uso secondario di tali dati da parte degli utenti dei dati, in base a un permesso di accesso ai dati che sarà emesso dagli organi di accesso ai dati sanitari (richiesta di accesso ai dati rivolta a più titolari di dati), (Articolo 49 della proposta di regolamento EHDS), o dallo stesso titolare dei dati (richiesta di accesso ai dati a un singolo titolare di dati in uno stato membro). (Articoli 45-46 della proposta di regolamento EHDS)

Un altro possibile modo per impegnarsi nel trattamento dei dati senza essere vincolati dai criteri esigenti imposti dal GDPR è l'uso di dati sintetici, cioè dati prodotti dall'intelligenza artificiale.[4] Alcuni esperti sostengono che i dati sintetici non siano dati personali e, pertanto, non siano soggetti al GDPR.[5] Tuttavia, questa valutazione è ancora aperta alla discussione. In un comunicato stampa del Garante europeo della protezione dei dati, [6] si afferma che i dati sintetici potrebbero consentire l'identificazione degli individui a cui i dati utilizzati per creare tali dati sintetici fanno riferimento. Se ciò dovesse rivelarsi corretto, i dati sintetici dovrebbero comunque essere considerati dati personali.

 

[4] Synthetic Data - What Is It and What You Need to Know About It, Hyperight, Feb. 22, 2022

[5] What Privacy Officers Need to Know About Synthetic Data, WireWheel, iuglio 13, 2021

[6] Synthetic Data | European Data Protection Supervisor

Passi pratici

Prima di avviare qualsiasi trattamento dei dati personali, il titolare del trattamento deve garantire che la sua organizzazione rispetti i principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (Articolo 25 del GDPR). Questa valutazione preliminare potrebbe prevenire future cause legali per il mancato rispetto della protezione adeguata dei dati personali trattati. Tra le misure tecniche da adottare, si notano le procedure per la classificazione automatica dei dati personali, le forme di pseudonimizzazione e la crittografia dei dati, nonché le misure tecniche di sicurezza informatica.

L'assegnazione di un Responsabile della Protezione dei Dati (DPO) è sempre consigliata, per garantire che il trattamento dei dati sia conforme al GDPR. Tuttavia, in alcuni casi è obbligatoria: ogni volta che l'organizzazione tratta dati sensibili su larga scala; o, per tutti gli altri tipi di dati personali, quando il trattamento implica un monitoraggio regolare e sistematico su larga scala degli individui (Articolo 37 del GDPR).

Ogni attività di trattamento dei dati richiede una base giuridica adeguata per essere considerata lecita, come previsto dall'Articolo 5(1)(a), che deve essere trovata nell'Articolo 6(1) del GDPR. Il titolare del trattamento deve analizzare quale delle situazioni elencate nell'Articolo 6(1) sia più adeguata alla luce delle circostanze particolari.

Il consenso potrebbe sembrare l'opzione più intuitiva (Articolo 6(1)(a) del GDPR), ma in realtà è estremamente difficile soddisfare le condizioni rigorose previste per il consenso come base giuridica: esso deve essere informato, volontario, specifico ed espresso mediante un'azione affermativa chiara. Pertanto, il consenso non può essere presunto da semplici comportamenti, come l'accettazione di una casella già spuntata (deve essere 'opt-in' e non 'opt-out').

Quando i dati personali sono anche dati sensibili, è necessaria una base giuridica aggiuntiva, da trovare nell'Articolo 9(2) del GDPR. Non esiste una coincidenza assoluta tra le basi giuridiche previste negli Articoli 6 e 9 del GDPR, il che rende la ricerca di una doppia base giuridica un compito complesso.

Una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) deve essere effettuata ogni volta che il titolare del trattamento utilizza nuove tecnologie, le cui caratteristiche possono interferire negativamente con i diritti e le libertà delle persone fisiche (Articolo 35(1) del GDPR). Questo è particolarmente il caso quando il trattamento dei dati implica un trattamento automatizzato, incluso il profiling; il trattamento massivo di dati sensibili (come elencato nell'Articolo 9(1) del GDPR); o il monitoraggio sistematico e pervasivo di aree accessibili al pubblico (Articolo 35(3) del GDPR).

Questo sarebbe sicuramente il caso di una società biotecnologica che offre test genetici direttamente ai consumatori per valutare e prevedere i rischi per la salute o, in modo simile, di un fornitore di assistenza sanitaria o di un ospedale che tratta i dati genetici e sanitari dei pazienti tramite il sistema informativo ospedaliero.

Tra i vari fattori, il trattamento dei dati genetici umani è spesso associato a dati sensibili o dati di natura altamente personale, così come a dati relativi a soggetti vulnerabili e/o dati trattati su larga scala. Gli attori coinvolti devono tenere a mente che, ogni volta che questi fattori sono applicabili, dovrebbe essere svolta una DPIA.

In alcuni casi, il titolare del trattamento sarà tenuto a mantenere un registro delle attività di trattamento (Articolo 30 del GDPR):

  1. Quando l'azienda ha più di 250 dipendenti;
  2. Quando il trattamento potrebbe comportare un rischio per i diritti e le libertà degli interessati;
  3. Quando il trattamento dei dati non è occasionale (essere "non occasionale" non è lo stesso che "essere sistematico");
  4. Quando il trattamento riguarda dati sensibili (nel senso dell'Articolo 9(1) del GDPR) e/o dati relativi a condanne penali e reati (ai sensi dell'Articolo 10 del GDPR).

Interazione con i regolatori

Ogni trattamento dei dati personali è soggetto al controllo e, in alcuni casi, alla valutazione preliminare da parte delle autorità nazionali (e, in alcuni Paesi, anche regionali) per la protezione dei dati, chiamate "autorità di vigilanza" ai sensi del GDPR. Queste autorità, a loro volta, collaborano strettamente con il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB), che supervisiona l'applicazione uniforme del GDPR all'interno dell'UE.

La proposta di regolamento EHDS introdurrà due nuovi regolatori: i National Health Data Access Bodiese il European Health Data Space Board.

Legisalzione dell’Unione Europea

Carta dei diritti fondamentali dell'Unione europea, 26 ottobre 2012, G.U. C 326, 26.10.2012, p. 391-407, numero CELEX: 12012P/TXT

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE) (Testo con rilevanza SEE), G.U. L 119, 4.5.2016, p. 1-88, numero CELEX: 32016R0679

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio G.U. L 119, 4.5.2016, p. 89-131, numero CELEX: 32016L0680

Proposta di Regolamento del Parlamento Europeo e del Consiglio relativo alla governance europea dei dati (Atto sulla governance dei dati), 25 novembre 2020, COM/2020/767 finale, numero CELEX: 52020PC0767

Proposta di Regolamento del Parlamento Europeo e del Consiglio sullo spazio europeo dei dati sanitari, 3 maggio 2022, COM/2022/197 finale, numero CELEX: 52022PC0197

Linee guida dell’Unione Europea

Europen Data Protection Board:

Letterature pertinente (in inglese)

  1. They who must not be identified-distinguishing personal from non-personal data under the GDPR  - Michele Finck and Frank Pallas. International Data Privacy Law, 2020, Vol. 10, No. 1, 11-36
  2. The EU General Data Protection Regulation (GDPR): A Commentary - Christopher Kuner, Lee A Bygrave, Christopher Docksey, Laura Drechsler and Luca Tosoni (editors).    New York, Oxford Academic online edition (2020).
  3. The EU’s General Data Protection Regulation (GDPR) in a Research Context - Christopher F. Mondschein, Cosimo Monda. Fundamentals of Clinical Data Science (2019): 55-71.
  4. Big Data in medical research and EU data protection law: challenges to the consent or anonymise approach - Mostert, M., Bredenoord, A., Biesaart, M. et al. European Journal of Human Genetics 24, (2016): 956–960.
  5. Estimating the success of re-identifications in incomplete datasets using generative models - Rocher, L., Hendrickx, J.M. & de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative models. Nature Communications 10, 3069 (2019).
  6. Good Privacy Protection Practice in Clinical Research: Principles of Pseudonymization and Anonymization   - Heinz Schriever and Markus Schröder. Berlin, München, Boston: De Gruyter, (2014).
  7. GDPR and Biobanking - Santa Slokenberga, Olga Tzortzatou and Jane Reichel (editors). Springer book (2021).
  8. The Patient, Data Protection and Changing Healthcare Models: The Impact of e-Health on Informed Consent, Anonymisation and Purpose Limitation - Verhenneman G., Intersentia (05/2021).

Ringraziamenti

Pubblicazione: 14/03/2023

Ultimo aggiornamento: 01/07/2024

Autori: 

Vera Lúcia Raposo, Associate Professor, NOVA School of Law - NOVA University of Lisbon; FutureHealthlaw / WhatNext.Law

Tomás de Brito Paulo, LL.M Law & Technology at Tilburg University, Tilburg, the Netherlands; Associate at Vieira de Almeida & Associados, Lisbon, Portugal

Revisione:

Aurélie Mahalatchimy, Responsabile EuroGCT del Work Package 4, UMR 7318 DICE CERIC, Aix-Marseille Università, CNRS, Aix-en-Provence, Francia

Traduzione:

Victoria Burakova-Lorgnier, Giurista, UMR 7318 DICE CERIC, Aix-Marseille Università, Aix-en-Provence, Francia nel marzo 2025

Research Pathways Overview

Table of contents

Torna in alto
Hai trovato le informazioni in questa pagina utili? In caso contrario puoi lasciarci un messaggio per aiutarci a migliorare Mandaci i tuoi commenti