Principi fondamentali della protezione dei dati

Si prega di notare che, sebbene questa voce sia stata tradotta in italiano da un giurista sulla base delle versioni francese e inglese e della documentazione normativa di riferimento, potrebbero comunque sussistere errori.

Introduzione

Lo sviluppo della terapia genica e cellulare comporta necessariamente il trattamento di dati, siano essi personali o non personali. A tal proposito, si prega di fare riferimento alla “Classificazione dei Dati”.

Le attività di trattamento dei dati personali devono essere svolte nel rispetto dei principi fondamentali della protezione dei dati.

Tra i principi sanciti dal Regolamento Generale sulla Protezione dei Dati (GDPR) e da altri strumenti giuridici di seguito menzionati, come la Dichiarazione Internazionale sui Dati Genetici Umani dell'UNESCO, si evidenziano i seguenti principi applicabili al trattamento dei dati personali:

Autodeterminazione;
Liceità, correttezza e trasparenza;
Limitazione della finalità;
Minimizzazione dei dati;
Esattezza;
Limitazione della conservazione;
Integrità, sicurezza e riservatezza;
Principi FAIR (Findable, Accessible, Interoperable, Reusable - Ricercabili, Accessibili, Interoperabili, Riutilizzabili).

Questi e altri principi pertinenti devono essere interpretati alla luce dell'evoluzione tecnologica e scientifica, che richiede un costante aggiornamento delle norme e dei regolamenti sulla protezione dei dati per affrontare nuovi rischi e minacce.

Inoltre, i dati sanitari e i dati genetici umani, probabilmente utilizzati nello sviluppo della terapia genica e cellulare, sono considerati una categoria particolare di dati personali (comunemente definiti “dati sensibili”), specificamente regolamentata dalla legge in ragione della loro natura unica e delicata.

Ciò è particolarmente rilevante per i dati genetici umani, trattati non solo per lo sviluppo della terapia genica, ma anche per molteplici altri scopi, come garantire uno screening efficace ed efficiente nelle terapie geniche e cellulari.

I dati genetici umani hanno una natura estremamente peculiare e sensibile, in ragione della quantità e qualità delle informazioni che possono essere estratte dal loro trattamento. Ad esempio, il trattamento dei dati genetici umani può prevedere predisposizioni genetiche e consentire deduzioni estremamente precise in ambito sanitario (e non sanitaria), con impatti significativi non solo sull'individuo interessato, ma anche sulla sua famiglia e sulle generazioni future, nonché sui gruppi a cui appartiene. Non di rado, il trattamento dei dati genetici comporta analisi e scoperte il cui significato potrebbe non essere noto al momento del trattamento stesso.

Pertanto, i dati genetici umani godono di uno status giuridico particolarmente tutelato, richiedendo standard di protezione più elevati e una valutazione più sofisticata dei relativi rischi e minacce.

Considerando le capacità scientifiche, mediche e tecnologiche sviluppate nel tempo, specialmente nel XXI secolo, il trattamento dei dati genetici umani è diventato una questione di crescente rilevanza sotto il profilo sociale, filosofico e giuridico. In questo contesto, le comunità scientifiche e giuridiche hanno approfondito numerosi temi connessi ai rischi e alle minacce derivanti dal trattamento dei dati genetici umani, come la protezione giuridica dei dati genetici, la salvaguardia della privacy genetica e la prevenzione della discriminazione genetica.

La Dichiarazione Internazionale sui Dati Genetici Umani dell'UNESCO del 2003 (di seguito anche “Dichiarazione Internazionale sui Dati Genetici Umani”), che ha integrato la Dichiarazione Universale sul Genoma Umano e i Diritti Umani del 1997, ha stabilito una base essenziale per la definizione dei concetti principali, delle regole e delle preoccupazioni legate alla raccolta, trattamento, utilizzo e conservazione dei dati genetici umani, ponendo le fondamenta per futuri quadri giuridici internazionali e nazionali finalizzati alla regolamentazione della materia.

Tra gli altri strumenti giuridici nazionali, regionali e internazionali, il GDPR dell'UE ha introdotto disposizioni relative ai dati genetici e ai rischi connessi al loro trattamento. Essendo lo strumento normativo europeo più rilevante per l'efficacia e l'armonizzazione dei principi di protezione dei dati personali, il GDPR ha influenzato e plasmato gli standard etici e giuridici relativi al trattamento dei dati genetici. A riprova della centralità dei dati genetici umani nel quadro dei principi di protezione dei dati sanciti dal GDPR, si evidenzia che la definizione stessa di dati personali include un riferimento esplicito ai fattori genetici come identificatori di una persona fisica (articolo 4(1) GDPR).

Il GDPR prevede un divieto generale sul trattamento dei “dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.” (ovvero le categorie particolari di dati personali) (articolo 9(1) GDPR).

Pertanto, ai sensi del GDPR è generalmente vietato il trattamento dei dati genetici, ossia “dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione”. (Articolo 4 (13) GDPR)

Nonostante questo divieto generale, il GDPR stabilisce un elenco di eccezioni (che funzionano come deroghe alla regola principale) che determinano gli scenari in cui è lecito trattare categorie speciali di dati, compresi i dati genetici. Ai sensi dell'articolo 9, paragrafo 2, il trattamento dei dati genetici può essere autorizzato per finalità specifiche e in conformità a condizioni specifiche.

Tra l'altro, il trattamento dei dati genetici può essere lecito quando (i) l'interessato ha prestato il proprio consenso esplicito al trattamento; (ii) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce transfrontaliere per la salute o la garanzia di elevati standard di qualità e sicurezza dell'assistenza sanitaria e dei medicinali o dispositivi medici; oppure (iii) il trattamento è necessario per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche ai sensi dell'articolo 89, paragrafo 1, del GDPR.

Vale la pena notare che, laddove il trattamento dei dati genetici sia lecito, tale trattamento deve essere effettuato sulla base del diritto dell'Unione o degli Stati membri, che prevede misure adeguate e specifiche per salvaguardare i diritti e le libertà dell'interessato e in conformità con i principi generali di protezione dei dati.

I principi di protezione dei dati stabiliti dal GDPR si basano ulteriormente sulle basi esistenti, stabilendo regole tangibili e soglie di protezione in base alle quali la legislazione sui dati personali e le attività di trattamento dovrebbero svolgersi.

L'importanza di adottare principi e garanzie di protezione dei dati accurati nel contesto del trattamento dei dati genetici umani è stata ulteriormente sottolineata in diversi strumenti e linee guida internazionali ed europei, vincolanti e non vincolanti, quali:

Raccomandazione R (97) 5 del Comitato dei Ministri agli Stati membri sulla protezione dei dati medici (“Raccomandazione R (97) 5 sulla protezione dei dati medici”);
Documento di lavoro del Gruppo di lavoro Articolo 29 sui dati genetici, 17 marzo 2004;
Raccomandazione CM/Rec (2019) 2 del Comitato dei Ministri agli Stati membri sulla protezione dei dati relativi alla salute, 27 marzo 2019;
Convenzione per la protezione delle persone fisiche con riguardo al trattamento automatizzato dei dati personali (CETS n. 108), 28 gennaio 1981 e la Convenzione modernizzata per la protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito “Convenzione modernizzata 108”), compresi i relativi emendamenti e il Protocollo addizionale alla Convenzione 108 relativo alle autorità di controllo e ai flussi transfrontalieri di dati (ETS n. 181).
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati (di seguito, “LED” - Law Enforcement Directive).

Attori principali

I dati genetici umani possono essere trattati e utilizzati in una vasta gamma di circostanze e contesti. I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica possono derivare dall’analisi di campioni biologici (articolo 4(13) GDPR), come l’analisi cromosomica, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico (RNA), oppure dall'analisi di altri elementi che consentono di ottenere informazioni equivalenti (considerando 34 del GDPR). Ad esempio, è stato recentemente suggerito che sia possibile diagnosticare disturbi genetici attraverso il trattamento dei dati biometrici facciali utilizzando tecnologie come l'imaging computazionale e gli algoritmi di deep learning [1], dimostrando che le informazioni genetiche possono essere ricavate da dati non genetici.

Di conseguenza, i dati genetici umani possono essere trattati in numerosi settori, tra cui quello farmaceutico e sanitario. Per quanto riguarda quest’ultimo, i dati genetici possono essere utilizzati per la ricerca e il trattamento di molte patologie, tra cui il cancro, le malattie neurologiche e psichiatriche, nonché le malattie cardiovascolari. L’impiego delle tecnologie genomiche nell’assistenza sanitaria amplia la comprensione della biologia umana e consente a scienziati, ricercatori, medici e operatori sanitari in tutto il mondo di stabilire correlazioni tra fattori molecolari e fisiologici e specifici sintomi clinici della malattia.[2]

Con l’avvento dell’economia dei big data, il trattamento massivo e automatizzato dei dati genetici è diventato una prassi comune. L’intelligenza artificiale viene utilizzata per analizzare e interpretare su larga scala i dati genomici per scopi clinici, farmaceutici e biomedici, ad esempio per la diagnosi medica, la previsione del rischio, la medicina di precisione e la scoperta e lo sviluppo di farmaci.

Il trattamento dei dati genetici non è limitato ai settori sanitario e farmaceutico, ma può essere rilevante anche in altri ambiti e contesti, come la ricerca fondamentale, l’antropologia, la biologia della conservazione, la medicina legale e la giustizia penale/applicazione della legge.

Inoltre, i dati genetici umani sono diventati un vero e proprio business. Nel 2019, il MIT (Massachusetts Institute of Technology) Technology Review ha stimato che oltre 26 milioni di consumatori avessero aggiunto il proprio DNA ai quattro principali database commerciali di genealogia e salute.[3] In questo contesto, i dati genetici possono essere raccolti tramite kit di test genetici offerti da servizi di test genetici diretti al consumatore, forniti da aziende che forniscono ai clienti informazioni sulla loro ascendenza e un livello di accesso senza precedenti al proprio genoma personale. Inoltre, i dati genetici possono essere utilizzati per nuove strategie e pratiche di marketing, come l’offerta di sconti basati sul DNA[4] o di servizi personalizzati in base al DNA[5].

L’ampia gamma di attività e finalità che fanno uso di dati genetici o ne implicano il trattamento rende difficile individuare con precisione tutti i soggetti interessati. Tuttavia, l’elenco seguente riassume i principali soggetti coinvolti nelle attività di trattamento dei dati genetici:

Pazienti, consumatori e, in generale, persone fisiche cui i dati genetici si riferiscono;
Fornitori di servizi sanitari (inclusi medici, cliniche e ospedali);
Aziende farmaceutiche;
Laboratori e fornitori di test genetici;
Scienziati, ricercatori e mondo accademico (come università e organizzazioni di ricerca scientifica);
Aziende e imprese private dirette al consumatore (come servizi di test genetici, servizi di genealogia e informazioni genetiche e, in generale, altre aziende che trattano dati genetici per servizi e applicazioni commerciali basate sul DNA/genetica non precedentemente indicate);
Governi e autorità giudiziarie (come agenzie governative, forze dell’ordine e tribunali);
Fornitori di servizi IT e tecnologici (come fornitori di servizi cloud e database e sviluppatori di intelligenza artificiale).

In generale, i soggetti che trattano dati genetici lo fanno in qualità di titolari del trattamento o responsabili del trattamento, nel qual caso si applicano gli obblighi specifici previsti dal GDPR e tali soggetti sono responsabili di garantire il rispetto dei principali principi di protezione dei dati.

Allo stesso tempo, le autorità di protezione dei dati – in quanto soggetti responsabili del monitoraggio e della garanzia della conformità ai principi e agli obblighi di protezione dei dati applicabili – sono incaricate di verificare che tutti gli attori coinvolti rispettino i principi fondamentali di protezione dei dati.

[1] Qiang, J.; Wu, D.; Du, H.; Zhu, H.; Chen, S.; Pan, H. Review on Facial-Recognition-Based Applications in Disease Diagnosis. Bioengineering 2022, 9, 273. https://doi.org/10.3390/bioengineering9070273 e Geremek, M.; Szklanny, K. Deep Learning-Based Analysis of Face Images as a Screening Tool for Genetic Syndromes. Sensors 2021, 21, 6595. https://doi.org/10.3390/s21196595.

[2] Liu, Y., Li, N., Zhu, X., Qi, Y. How wide is the application of genetic big data in biomedicine? Biomedicine & Pharmacotherapy, Volume 133, 2021, 111074, ISSN 0753-3322, https://doi.org/10.1016/j.biopha.2020.111074.

[3] Regalado, A. More than 26 million people have taken an at-home ancestry test, MIT Technology Review, 11 febbraio 2019.

[4] Marcus, L. AeroMexico’s new ‘DNA Discount’ ad goes viral, CNN Travel, 17 gennaio 2019.

[5] Spotify are letting you use your DNA to curate tailored playlists, The Music Network, 24 settembre 2018.

Definizioni

Autodeterminazione: Come principio generale, l'autodeterminazione è stata coniata nel contesto del diritto internazionale e corrisponde al diritto legale delle persone di decidere il proprio destino nell'ordine internazionale. Il principio cardine dell'autodeterminazione deriva dal diritto internazionale consuetudinario ed è riconosciuto in vari trattati internazionali, come la Carta delle Nazioni Unite e il Patto internazionale sui diritti civili e politici.

Tuttavia, il principio di autodeterminazione presenta una dimensione sia esterna che interna. [6] L'autodeterminazione interna si riferisce al diritto delle persone di autogovernarsi senza interferenze esterne, sottolineando una dimensione relativamente personale. L'autodeterminazione esterna riguarda invece il diritto delle persone di determinare il proprio status politico ed essere libere da interferenze straniere o dominazioni aliene, compresa la formazione di uno stato indipendente, evidenziando una dimensione politica e sociale.

Nel contesto del trattamento dei dati genetici umani, la dimensione interna del principio di autodeterminazione si concretizza nel diritto all'autodeterminazione informativa. Questo principio è stato introdotto per la prima volta dalla Corte Costituzionale Federale tedesca nella sua storica decisione sulla Legge del Censimento Federale del 1983, comunemente nota come "Census Verdict".[7]

Come diritto di decidere in modo indipendente e libero il destino dei propri dati personali, l'autodeterminazione informativa tutela la personalità e la privacy, costituendo uno dei principi fondamentali sottesi al diritto alla protezione dei dati personali, sancito dall'Articolo 8 della Carta dei Diritti Fondamentali dell'Unione Europea.

Nonostante la rilevanza dell'autodeterminazione e del controllo individuale sui dati nel GDPR, il fatto è che i dati personali, compresi quelli genetici, possono essere trattati senza il consenso del titolare, a condizione che siano soddisfatte determinate condizioni e rispettati i restanti principi di protezione dei dati. Il consenso è una delle basi giuridiche previste dagli articoli 6(1)(a) e 9(2)(a) del GDPR, ma entrambe le norme includono ulteriori basi giuridiche che prescindono dal consenso.

Liceità, correttezza e trasparenza – Articolo 5(1)(a) GDPR: « I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. » Sebbene vi sia una certa sovrapposizione tra i tre elementi della liceità, correttezza e trasparenza, i titolari del trattamento devono rispettare tutti e tre i requisiti. Secondo questo principio, non sarebbe sufficiente dimostrare che il trattamento è lecito se allo stesso tempo fosse ingiusto o non trasparente.

Liceità: I dati personali devono essere trattati sulla base di un fondamento giuridico specifico e previamente individuato. Le basi giuridiche per il trattamento dei dati personali sono individuate negli articoli 6 (per tutti i dati personali) e 9 (base giuridica aggiuntiva per i dati sensibili) del GDPR. Se non vi è una base giuridica per l'attività di trattamento, il trattamento è illecito e in violazione di questo principio.

Il principio di liceità può essere interpretato anche in senso più ampio, nel senso che il titolare del trattamento non può trattare dati personali in un modo considerato illecito in senso generale, che include altre obbligazioni legali, di natura penale o civile. Ad esempio, le attività di trattamento potrebbero essere considerate illecite se comportano una violazione della normativa di settore o di regolamenti specifici.

Il GDPR include disposizioni dettagliate sulla liceità negli articoli 6-10.

Correttezza: Il trattamento dei dati personali deve essere equo. Se alcuni aspetti di un'attività di trattamento dei dati personali sono scorretti, questo principio viene violato indipendentemente dall'esistenza di una base legale per il trattamento.

L'equità nel trattamento dei dati significa che il responsabile del trattamento deve trattare i dati personali in un modo che gli interessati possono ragionevolmente aspettarsi. Inoltre, significa anche che i dati personali non devono essere utilizzati in modi che comportino conseguenze o effetti negativi ingiustificati o sproporzionati per l'interessato. Pertanto, il principio di correttezza è estremamente intrecciato con il concetto di proporzionalità e con le aspettative ragionevolmente nutrite dall'interessato in relazione ai propri dati.

L'equità nel trattamento dei dati è anche legata al particolare metodo utilizzato per la loro raccolta. Ad esempio, se l'interessato viene ingannato o indotto in errore durante l'operazione di raccolta dei dati personali, è probabile che tale attività di trattamento dei dati sia scorretta.

Per valutare se un'operazione di trattamento dei dati personali è corretta, occorre considerare in che modo essa influisce sugli interessi e sui diritti fondamentali degli interessati. Tuttavia, va notato che a volte i dati personali possono essere utilizzati in modo da incidere negativamente su una persona interessata senza essere necessariamente sleali.

Trasparenza : Il principio di trasparenza è fondamentalmente interconnesso con il principio di correttezza. Trasparenza significa che le attività di trattamento dei dati devono essere intraprese in modo chiaro, aperto e onesto e che l'interessato deve ricevere informazioni esaurienti ma tangibili (in un linguaggio chiaro e semplice, nonché in un modo facilmente accessibile) su tutti gli aspetti relativi alle attività di trattamento dei dati, come l'identità e le caratteristiche del responsabile e dell'incaricato del trattamento dei dati (se applicabile), i motivi e le modalità per cui tali attività di trattamento dei dati si svolgeranno, le finalità per le quali i dati personali vengono utilizzati e l'eventuale trasferimento di dati personali, oltre ad altre informazioni pertinenti.

Tali informazioni sono fondamentali per una corretta ed equa valutazione da parte dell'interessato in relazione alle attività di trattamento dei dati, che è fondamentale per la sua scelta di procedere o meno alle attività che comportano tale trattamento.

Ai sensi del GDPR, la trasparenza delle operazioni di trattamento dei dati richiede che gli interessati siano informati ai sensi degli articoli 12, 13 e 14.

Limitazione dello scopo – Articolo 5(1)(b), del GDPR: Il principio di limitazione delle finalità richiede che i dati personali siano raccolti e trattati per finalità specifiche, esplicite e legittime e che tali dati non siano ulteriormente trattati in modo incompatibile con tali finalità precedentemente definite (in sostanza, la finalità deve essere definita prima del momento della raccolta). Ciò significa anche che il titolare del trattamento deve definire e dichiarare chiaramente quale sia tale finalità, nonché che i dati personali raccolti devono corrispondere ai dati personali necessari per il raggiungimento di tale finalità.

Esistono tuttavia alcune eccezioni al principio della limitazione delle finalità:

Quando l'interessato acconsente (considerando 50 e art. 6(4) GDPR).
Quando la finalità secondaria è autorizzata dal diritto europeo o nazionale (Considerando 50 e Art. 6(4) GDPR)
Quando la finalità secondaria soddisfa i requisiti della cosiddetta eccezione per la ricerca (artt. 5(1) (b) e 89(1) GDPR)
Quando - in base alla seconda parte dell'art. 5(1) (b) - la finalità secondaria non è incompatibile con quella originaria, valutata in base al cosiddetto “test di compatibilità” (Considerando 50 e art. 6(4) GDPR).

Minimizzazione dei dati – Articolo 5, paragrafo 1, lettera c) del GDPR: La minimizzazione dei dati significa che le operazioni di trattamento dei dati devono comportare esclusivamente la raccolta e l'elaborazione di dati adeguati, pertinenti e limitati a quanto necessario per raggiungere lo scopo corrispondente. Ciò significa che la quantità e la qualità dei dati devono essere mantenute al minimo necessario alla luce degli obiettivi perseguiti.

Accuratezza – Articolo 5(1) (d) GDPR: I dati personali devono essere corretti e, se necessario, aggiornati. Ciò significa che i responsabili del trattamento dei dati sono tenuti ad adottare misure ragionevoli per garantire l'eliminazione o la rettifica dei dati personali inesatti o non veritieri, tenuto conto delle finalità per cui sono trattati. Gli interessati hanno il diritto di chiedere la cancellazione o la rettifica di dati inesatti o incompleti entro 30 giorni.

Limitazione della durata di conservazione – Articolo 5(1) (e) GDPR: I dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per il tempo necessario alle finalità per cui sono trattati. I dati personali non possono essere archiviati o conservati per periodi più lunghi del necessario. Per garantire che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento deve stabilire limiti di tempo e politiche di conservazione dei dati per la cancellazione o la revisione periodica.

Integrità e riservatezza – Articolo 5(1) (e) GDPR: I dati personali devono essere trattati in modo da garantirne l'adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illegali e da perdite, distruzioni o danni accidentali. Il titolare del trattamento deve garantire di aver implementato le misure di sicurezza tecniche o organizzative adeguate per proteggere i dati personali.

FAIR (reperibile, accessibile, interoperabile, riutilizzabile): Questo principio/acronimo è stato suggerito dalla comunità scientifica [14] come principio rilevante nel campo dei dati personali, ma non è riconosciuto nel GDPR e potrebbe essere in contraddizione con il suo spirito e contenuto. È nel futuro Spazio europeo dei dati sanitari (EHDS) che il principio FAIR trova un riconoscimento adeguato. Data l'importanza e la complessità dei dati genetici umani e delle informazioni basate sul DNA, è di fondamentale importanza garantire che i dati genetici umani siano mantenuti ai più alti standard di scienza dei dati. Ciò è particolarmente importante nelle situazioni in cui tali dati sono elaborati con mezzi digitali, automatizzati o elettronici.

A condizione che siano state adottate tutte le misure di sicurezza (ad esempio, autenticazione, crittografia, pseudonimizzazione), è importante sottolineare i vantaggi di mantenere i dati genetici umani reperibili, accessibili, interoperabili e riutilizzabili, al fine di garantirne una gestione e un trattamento agevoli, efficienti e sicuri.

I principi FAIR pongono l'accento sulla capacità dei sistemi computazionali di reperire, accedere, interoperare e riutilizzare i dati (ossia, l'azionabilità automatica), nonché sul diritto dell'interessato di accedere e ricevere dati personali in un formato strutturato, comunemente utilizzato e leggibile da una macchina e sul diritto di trasferire tali dati a un'altra parte senza ostacoli.

Poiché il trattamento dei dati genetici umani si basa sempre più sulle reti computazionali e comporta un volume di dati, una complessità e una velocità sempre maggiori, la necessità di integrazione e interoperabilità dei dati con le applicazioni e i flussi di lavoro per l'analisi, l'archiviazione e l'elaborazione può essere raggiunta garantendo i principi FAIR insieme agli obblighi generali di protezione dei dati stabiliti dal GDPR, in particolare in materia di sicurezza, disponibilità, riservatezza e integrità dei dati.

[6] Legal Aspects of Self-Determination | The Princeton Encyclopedia of Self-Determination

[7] Bundesverfassungsgericht - Decisions - On the constitutionality of the 1983 Census Act

[8] Wilkinson, Mark D.; Dumontier, Michel; Aalbersberg, IJsbrand Jan; Appleton, Gabrielle; et al. (15 March 2016). "The FAIR Guiding Principles for scientific data management and stewardship". Scientific Data. 3: 160018. (doi:10.1038/sdata.2016.18).

Problematiche

La natura intrinseca e le caratteristiche dei dati genetici umani

Il documento di lavoro del Gruppo di lavoro Articolo 29 sui dati genetici ha sottolineato alcune delle caratteristiche che rendono i dati genetici così unici e delicati. (pp. 4-5):

I dati genetici sono unici e distinguono un individuo dagli altri;
I dati genetici possono rivelare informazioni sui parenti consanguinei dell’individuo (famiglia biologica), inclusi quelli delle generazioni precedenti e successive, con possibili implicazioni giuridiche per loro;
I dati genetici possono caratterizzare un gruppo di individui (ad esempio, comunità etniche);
Le informazioni genetiche sono spesso sconosciute all’individuo e non dipendono dalla volontà del soggetto, poiché i dati genetici sono, in linea di principio, non modificabili (è importante ricordare, tuttavia, che gli sviluppi scientifici contemporanei consentono la modifica dei dati genetici attraverso, ad esempio, tecnologie di editing genetico come CRISPR);
I dati genetici possono essere facilmente ottenuti o estratti da materiale biologico grezzo, sebbene la qualità di tali dati possa talvolta essere incerta;
Considerando gli sviluppi della ricerca, i dati genetici potrebbero rivelare ulteriori informazioni in futuro e potrebbero essere utilizzati da un numero crescente di enti per vari scopi.

Queste e altre caratteristiche illustrano la natura molto particolare dei dati genetici umani, che comporta sfide sostanziali nell'applicazione della legislazione e dei principi di protezione dei dati. Tra le altre sfide, il trattamento dei dati genetici umani presuppone un conflitto tra due interessi essenziali che devono essere bilanciati. Da un lato, i diritti e gli interessi delle persone interessate al trattamento dei dati genetici, nonché l'interesse generale a proteggere la privacy e, allo stesso tempo, a controllare l'uso dei dati genetici umani e delle tecnologie associate in modo da salvaguardarne la legittimità, l'equità e la trasparenza. Dall'altro lato, gli interessi legati al ruolo dei dati genetici umani per il progresso della scienza, per la ricerca medica e per altri scopi che sono strumentali al progresso, allo sviluppo e al benessere della nostra società, in particolare in materia di biologia e biotecnologia, salute e sicurezza.

La dimensione collettiva dei dati genetici umani

A causa delle caratteristiche genetiche biologicamente comuni, il trattamento dei dati genetici può valutare rischi per la salute o determinare relazioni biologiche che riguardano non solo il soggetto interessato, ma anche altri individui, inclusi i familiari allargati. Di conseguenza, le operazioni di trattamento dei dati possono non solo incidere sul diritto alla riservatezza di un singolo individuo, ma anche comportare conseguenze per la privacy di un gruppo di individui.

Ciò solleva questioni giuridiche molto serie e complesse relative alla riservatezza dei dati, come il diritto di accesso alle informazioni genetiche da parte della famiglia biologica dell'interessato. In questo contesto, è difficile trovare un equilibrio tra il diritto dell'interessato a non divulgare (o a divulgare) le proprie informazioni genetiche e le potenziali implicazioni e conseguenze della loro divulgazione (o mancata divulgazione) per i membri della famiglia. In sostanza, le preoccupazioni principali sono due (e tra loro interconnesse): i) i dati genetici appartengono esclusivamente all'individuo specifico da cui vengono raccolti o, al contrario, a un gruppo di individui; ii) i familiari hanno il diritto di accedere a tali dati in assenza del consenso dell'interessato? I dati genetici appartengono esclusivamente all’individuo dal quale sono stati raccolti o, al contrario, a un gruppo di individui?

Nel documento di lavoro sui dati genetici del Gruppo di lavoro sull'articolo 29 (di seguito anche “WP29” o “Gruppo di lavoro”) si afferma che “nella misura in cui i dati genetici hanno una dimensione familiare, si può sostenere che si tratta di informazioni ‘condivise’, con i membri della famiglia che hanno il diritto di ottenere informazioni che possono avere implicazioni per la loro salute e la loro vita futura”.

Ciò, tuttavia, solleverebbe importanti implicazioni nell'interpretazione e nell'applicazione della legislazione e dei principi di protezione dei dati. Tale soluzione comporterebbe, ad esempio, che anche gli altri membri della famiglia potrebbero essere considerati “soggetti interessati” o, in alternativa, pur non essendo considerati soggetti interessati in relazione a tali dati, che i membri della famiglia avrebbero comunque il diritto di accedere e ricevere tali informazioni a causa dell'importanza degli interessi in gioco dal loro punto di vista (tradizionalmente, l'esercizio del diritto di accesso e di informazione è in genere giuridicamente condizionato dalla condizione di soggetto interessato e non è esercitato da terzi per suo conto).

Gli strumenti giuridici più rilevanti che regolano la protezione dei dati hanno un approccio individualistico ai principi di protezione dei dati che sfida o, almeno, sembra leggermente incompatibile con le questioni giuridiche sollevate dalla natura e dalle caratteristiche dei dati genetici umani. Va notato, tuttavia, che altri strumenti pertinenti, come la Raccomandazione R (97) 5 sulla protezione dei dati medici, la Dichiarazione sul campionamento del DNA del Comitato etico di Hugo e la Dichiarazione internazionale sui dati genetici umani dell'UNESCO del 2003, hanno un approccio diverso che tiene conto dell'“impatto significativo sulla famiglia”, facendo riferimento alle caratteristiche all'interno di un “gruppo correlato di individui”, nonché alle informazioni relative ai “membri della famiglia dell'individuo” e arrivando ad affermare che “dovrebbe essere prestata particolare attenzione all'accesso da parte dei parenti stretti”.

Base giuridica, finalità e diritti nel contesto del trattamento dei dati genetici umani

Considerando la varietà di utilizzi che possono essere fatti dei dati genetici umani, la vasta gamma di informazioni che possono essere estratte dal loro trattamento, nonché la quantità e la qualità dei diversi scopi per i quali tali dati possono essere utilizzati e ulteriormente trattati dopo la raccolta, può essere spesso difficile per i responsabili del trattamento determinare in modo preciso e tempestivo le finalità, la base giuridica e le norme di protezione dei dati associate a tali attività. Ad esempio, le peculiarità del trattamento dei dati genetici umani rendono difficile mantenere i principi di limitazione delle finalità, minimizzazione dei dati e accuratezza, soprattutto alla luce della complessità e della sensibilità delle informazioni estratte dai dati genetici, che comportano un rischio sostanziale di uso improprio e/o di riutilizzo attraverso un'ulteriore analisi dei dati originali.

Inoltre, la determinazione di tali elementi (come la base giuridica e la finalità del trattamento dei dati) dovrà molto probabilmente avvenire prima che le operazioni di trattamento dei dati abbiano luogo, in una fase molto precoce (i responsabili del trattamento devono determinare e spiegare chiaramente i dettagli del trattamento dei dati agli interessati sin dall'inizio) e in termini che potrebbero ostacolare il compito di definire correttamente i corrispondenti requisiti legali. Ad esempio, le conclusioni che saranno tratte dal trattamento dei dati genetici umani, così come il contesto specifico e gli scopi per cui questi dati verranno utilizzati, potrebbero non essere del tutto noti al momento della raccolta (e potrebbero variare in base a diversi fattori dinamici, come il tempo, il budget, le capacità tecniche, tra gli altri). Questo sarebbe probabilmente il caso nel contesto di progetti di ricerca medica e scientifica a lungo termine quando si trovano nelle fasi iniziali.

La determinazione della base giuridica ai sensi degli articoli 6 (legalità del trattamento) e 9 (trattamento di categorie particolari di dati personali) del GDPR dipende dallo scopo specifico per cui tali dati verranno utilizzati e, a sua volta, avrà un impatto significativo sull'applicazione e la rilevanza dei diritti dell'interessato. Tutti questi elementi sono intrecciati in qualche modo e variano sostanzialmente in base al contesto, alla realtà operativa e al background in cui i dati genetici umani vengono trattati. Ciò significa che può essere una sfida complessa determinare i diritti e gli obblighi che derivano da una particolare operazione di trattamento dei dati con il necessario grado di precisione. Questo potrebbe compromettere il rispetto dei diritti degli interessati, che a sua volta potrebbe successivamente ostacolare le operazioni del responsabile del trattamento.

Inoltre, il modo specifico in cui determinati principi e diritti devono essere applicati non è sempre del tutto chiaro nel contesto del trattamento dei dati genetici umani.

Ad esempio, il principio dell'accuratezza dei dati e il diritto di rettifica potrebbero essere problematici poiché il trattamento dei dati genetici include spesso risultati e insight che potrebbero contenere errori mantenuti intenzionalmente entro determinati margini per vari scopi (ad esempio, per valutare e migliorare continuamente l'efficacia e l'efficienza dell'analisi dei dati genomici). Oppure, diversamente, il fatto che alcune conclusioni derivanti dai risultati del trattamento dei dati genetici possano essere una questione di opinione scientifica che dipende da diversi fattori, come la conoscenza scientifica disponibile o specifiche aree scientifiche. Analogamente, nonostante l'esistenza di determinati metodi e tecnologie di modifica genetica, come le tecnologie di editing genetico e ingegneria genetica, i dati genetici e i supporti in cui sono conservati hanno caratteristiche fondamentali non modificabili che ne rendono difficile la rettifica.

Non discriminazione e non stigmatizzazione

Le caratteristiche dei dati genetici umani (come la loro natura permanente ed essenzialmente irrimediabile) comportano seri rischi di trattamento discriminatorio o stigmatizzante, ad esempio, nel contesto del lavoro e delle assicurazioni. In un contesto occupazionale, ad esempio, il caso in cui un datore di lavoro decida di licenziare un lavoratore sulla base del fatto che questo dipendente ha una predisposizione genetica al cancro e quindi potrebbe essere in malattia per diversi mesi. Allo stesso modo, in un contesto assicurativo, la compagnia di assicurazione potrebbe negare una polizza assicurativa sulla base della conoscenza della predisposizione genetica dell'individuo a sviluppare il cancro.

Il Documento di Lavoro del Gruppo di Lavoro ex Articolo 29 sui Dati Genetici (p. 10) considera che il trattamento dei dati genetici nel contesto del lavoro dovrebbe essere, in linea di principio, vietato. Tale trattamento dovrebbe essere autorizzato solo in circostanze eccezionali. [16] La Raccomandazione CM/Rec (2015)5 del Comitato dei Ministri agli Stati membri sul trattamento dei dati personali nel contesto del lavoro sottolinea che i dati genetici umani non devono essere trattati per scopi legati alla valutazione dell'idoneità o delle performance dei dipendenti o dei candidati, indipendentemente dal fatto che l'individuo interessato abbia fornito il suo consenso per tale trattamento (Articolo 9.3).

Allo stesso tempo, il Gruppo di Lavoro considera che il trattamento dei dati genetici per scopi assicurativi dovrebbe essere, in linea di principio, vietato e autorizzato solo in circostanze eccezionali, che devono essere chiaramente previste dalla legge. Il Gruppo di Lavoro sottolinea ulteriormente che “l'uso dei dati genetici nel settore assicurativo potrebbe portare a discriminazioni nei confronti di un richiedente l'assicurazione o dei membri della sua famiglia sulla base del loro profilo genetico” (p. 10). La Raccomandazione CM/Rec(2016)8 del Comitato dei Ministri agli Stati membri sul trattamento dei dati sanitari personali per scopi assicurativi, inclusi i dati derivanti dai test genetici, stabilisce disposizioni concrete con l'obiettivo di prevenire la discriminazione genetica nel contesto delle assicurazioni, come la pratica dei test genetici predittivi e l'imposizione di premi assicurativi e tasse più elevati sulla base di un rischio aumentato dell'individuo secondo le conclusioni ottenute dal trattamento dei dati genetici (Principio 4).

Inoltre, è stato osservato l'uso dei dati biometrici e genetici nella creazione di banche dati massicce con profili genetici per una serie di scopi che potrebbero interferire con il diritto fondamentale degli interessati alla protezione dei dati. Ad esempio, i dati genetici umani potrebbero essere trattati da agenzie di forze dell'ordine nel contesto di indagini criminali e spesso conservati a livello governativo per vari scopi (anche se, il trattamento dei dati per scopi di giustizia penale non è regolato dal GDPR [Articolo 10], ma dalla LED). Questi dati sono spesso conservati indipendentemente dall'esito o dallo scopo di tali attività. Al contempo, l'accesso a questi profili genetici e dati è frequentemente effettuato senza la consapevolezza o il consenso degli interessati.

Infine, l'integrazione dei dati genetici umani in altri set di dati consente di stabilire collegamenti tra diversi tipi di dati personali (come dettagli di contatto o indirizzo) e può permettere il tracciamento e la sorveglianza di un individuo attraverso diversi punti di dati e con un livello di dettaglio senza precedenti, potenzialmente influenzandolo in modi che non desidera né si aspetta. Ad esempio, nelle applicazioni dei dati genomici come i test genetici diretti al consumatore, che potrebbero essere ulteriormente utilizzati per il profilo e strategie commerciali basate sulle informazioni genetiche di un individuo combinate con altri dati personali.

Il trattamento dei dati genetici umani potrebbe anche “ridefinire le relazioni familiari, ad esempio, confermando o smentendo la paternità, individuando parenti precedentemente sconosciuti o identificando donatori anonimi di gameti. (…) Pertanto, quando progettano, conducono e discutono la loro ricerca, gli investigatori devono considerare come i dati genomici vengono utilizzati e come il tipo di utilizzo influisce sul fatto che i dati siano controllati o meno al di fuori dell'ambito della ricerca” [9].

Il principio del divieto di discriminazione e/o stigmatizzazione, la protezione della dignità di tutti gli esseri umani e dei loro diritti e libertà fondamentali con riferimento al trattamento dei dati genetici è stato rafforzato da diversi strumenti giuridici, come le considerazioni del Regolamento Generale sulla Protezione dei Dati, la Convenzione 108 modernizzata (di seguito anche “Convenzione 108 +”) e la Convenzione sui Diritti Umani e la Biomedicina del Consiglio d'Europa.

Durata di Conservazione

La questione della durata di conservazione/retention dei dati è un altro argomento di estrema rilevanza nel contesto del trattamento dei dati genetici umani. In sintesi, il principio di limitazione della conservazione implica che i dati personali non debbano essere conservati per un periodo di tempo superiore a quello necessario.

Nel contesto della ricerca medica e scientifica, tuttavia, l'applicazione di questo principio non è così semplice come potrebbe sembrare. Tra gli altri aspetti, per due motivi principali: (i) una parte sostanziale dei dati genetici umani trattati per scopi di ricerca medica e scientifica è spesso raccolta in un altro contesto, come quello clinico e sanitario, e talvolta il trattamento di tali dati costituisce un’attività di ulteriore trattamento ai sensi dell'Articolo 6(4) (test di conformità) o 89(3) (eccezione per la ricerca) del GDPR; (ii) la maggior parte dei dati utilizzati in questo contesto subisce una sorta di processo digitale o automatizzato che mira a coprire l'identità dell'interessato – tuttavia, tali processi non garantiscono sempre la totale e irreversibile anonimizzazione dei dati in questione, ma piuttosto si tratta di processi di pseudonimizzazione o cifratura nei quali un certo legame con l'identità del soggetto originale è ancora mantenuto.

Tipicamente, i dati genetici raccolti per scopi di ricerca dovrebbero essere anonimi. Questo garantirebbe la conformità al principio di limitazione della conservazione. Tuttavia, diverse attività scientifiche e mediche che utilizzano i dati genetici umani richiedono che i risultati della loro analisi possano essere collegati a un individuo, e tale collegamento è, spesso, necessario per raggiungere gli scopi della ricerca stessa.

Allo stesso tempo, le caratteristiche dei dati genetici umani, come il DNA conservato, potrebbero consentire un legame permanente a una persona specifica (anche se questa persona non è identificata direttamente attraverso altri fattori come nome o sesso), dato che alcuni fattori genetici sono, di per sé, identificatori di una persona fisica (cioè, tali fattori possono essere intrinsecamente parte dell’identità di un individuo, senza la necessità di identificare ulteriormente la persona tramite altri mezzi).

Come riportato nel Documento di Lavoro del Gruppo di Lavoro ex Articolo 29 sui Dati Genetici, “secondo una definizione del gruppo di lavoro istituito dal governo danese per valutare la necessità di ulteriori proposte legislative in Danimarca, una bio-banca è definita come una raccolta strutturata di materiale biologico umano che è accessibile sotto determinati criteri e in cui le informazioni contenute nel materiale biologico possono essere ricondotte agli individui” (p. 11).

Inoltre, è importante ricordare che diverse giurisdizioni prevedono l'obbligo di conservare alcuni dati per lunghi periodi, come i dati relativi agli studi clinici. Il Regolamento (UE) n. 536/2014 del Parlamento Europeo e del Consiglio del 16 aprile 2014 sugli studi clinici sui medicinali per uso umano, ad esempio, prevede nel suo articolo 58 l’archiviazione del contenuto del fascicolo principale dello studio clinico da parte del promotore e dell'investigatore per almeno 25 anni dopo la fine dello studio clinico – tali file medici devono essere archiviati in conformità con la normativa nazionale.

Similmente, secondo il Documento di Lavoro del Gruppo di Lavoro ex Articolo 29 sui Dati Genetici, “l'autorità di protezione dei dati olandese è stata confrontata con situazioni in cui l'anonimizzazione o la cancellazione dei dati conservati nelle bio-banche potrebbe ridurre sostanzialmente il valore e le funzioni di tali banche dati, poiché i dati non sarebbero più collegati a individui identificabili. Esempi sono le banche dati per ricerche longitudinali, talvolta comprendenti più generazioni, come la registrazione dei casi di cancro. Gli argomenti provenienti dal campo per periodi di conservazione più lunghi dovrebbero essere presi in considerazione in tali casi.” (p. 11).

Questo dimostra che, in alcuni casi, è difficile bilanciare la necessità di conservare i dati con il principio di limitazione della conservazione e, al contempo, che l'applicazione di quest'ultimo nel contesto del trattamento dei dati genetici umani per scopi di ricerca non è sempre completamente chiara.

Un caso diverso riguarda la conservazione dei dati genetici umani per le indagini criminali. La questione non è regolata dal GDPR, ma dalla LED. L'Articolo 5 della LED, relativo ai " Gli Stati membri dispongono che siano fissati adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della conservazione dei dati personali. Misure procedurali garantiscono che tali termini siano rispettati. »

Ai sensi dell'articolo 11 della Convenzione 108+, qualsiasi eccezione ai principi applicabili al trattamento dei dati genetici umani, inclusa la limitazione della conservazione, deve costituire una misura necessaria e proporzionata per perseguire gli scopi previsti dalla legge.

Un caso esemplare in tal senso proviene dalla Corte Europea dei Diritti Umani. Nel caso S. e Marper c. Regno Unito,[10] la Corte Europea dei Diritti Umani ha deciso che la conservazione indefinita dei dati biometrici e genetici (come impronte digitali, campioni cellulari e profili del DNA) dopo che l'indagine contro il sospetto è stata conclusa non era una misura necessaria e proporzionata in una società democratica.

Analogamente, nel caso M.K. c. Francia (2013)[11], sempre dalla Corte Europea dei Diritti Umani, la Corte ha riscontrato la violazione dell'Articolo 8 della Convenzione Europea dei Diritti Umani, poiché la conservazione dei dati di una persona innocente per 25 anni non era necessaria per una società democratica.

Ai sensi del paragrafo 8 della Raccomandazione No. R (92) 1 del Comitato dei Ministri del Consiglio d'Europa sull'uso dell'analisi dell'Acido Desossiribonucleico (DNA) nel contesto del sistema di giustizia penale: “i campioni o altri tessuti corporei prelevati dagli individui per l'analisi del DNA non devono essere conservati dopo la decisione finale nel caso per il quale sono stati utilizzati, salvo che non sia necessario per scopi direttamente collegati a quelli per i quali sono stati raccolti”. Inoltre, “devono essere adottate misure per garantire che i risultati dell'analisi del DNA e le informazioni derivanti da essa vengano cancellati quando non sono più necessari per gli scopi per cui sono stati utilizzati. I risultati dell'analisi del DNA e le informazioni derivanti da essa possono, tuttavia, essere conservati quando la persona interessata è stata condannata per reati gravi contro la vita, l'integrità o la sicurezza delle persone. In questi casi, i periodi di conservazione devono essere definiti dalla legge nazionale.”

(Cyber) sicurezza

Tenendo presente la sensibilità e il valore dei dati genetici umani, nonché il fatto che l'elaborazione e la condivisione dei dati tramite il cloud computing e altre tecnologie di archiviazione e condivisione dei dati stanno diventando sempre più importanti per l'archiviazione e l'analisi dei dati genetici, tali dati potrebbero essere soggetti a tentativi di attacchi informatici e intrusioni esterne. Pertanto, l'integrità e la sicurezza delle reti e delle tecnologie utilizzate nel trattamento di tali dati rappresentano un aspetto vitale. A questo proposito, l'implementazione di adeguate misure tecniche e organizzative è di fondamentale importanza per tutti i soggetti coinvolti.

Frammentazione normativa

Una delle principali sfide sottostanti e trasversali è la frammentazione normativa e giuridica, in particolare nel contesto del diritto internazionale o regionale. Nonostante l'esistenza di strumenti giuridici internazionali ed europei (sia vincolanti che non vincolanti), l'interpretazione divergente e sovrapposta delle norme e dei termini introdotti nel diritto internazionale ed europeo potrebbe potenzialmente rendere inefficaci o non applicabili le norme esistenti, le migliori pratiche, le linee guida e gli standard. Ciò è particolarmente vero considerando che le attività di trattamento dei dati genetici umani sono spesso effettuate in un contesto transfrontaliero.
A tal proposito, lo sviluppo dinamico della scienza e della tecnologia aumenta il numero di entità pubbliche e private che si occupano di attività di trattamento dei dati umani, il che a sua volta porta a un aumento complessivo delle attività legislative e normative e, infine, all'emergere di regole nazionali e internazionali in materia di protezione dei dati nel contesto del trattamento dei dati genetici umani.

In sintesi, esistono diversi strumenti giuridici internazionali che contengono definizioni e norme essenziali relative al trattamento dei dati genetici umani (ad esempio, il GDPR, la Convenzione 108 + o la Raccomandazione R (97) 5 sulla protezione dei dati medici), nonché poteri significativi degli organismi internazionali ed europei, come la Commissione Europea. Tuttavia, va notato che “il monitoraggio e l'applicazione della legislazione sulla protezione dei dati sono principalmente di competenza delle autorità nazionali, in particolare delle autorità di protezione dei dati e dei tribunali”[12]. Inoltre, ai sensi dell'Articolo 9(4) del GDPR, gli Stati membri possono prevedere condizioni o limitazioni aggiuntive in relazione al trattamento dei dati genetici, biometrici o sanitari.

Ambiente altamente dinamico e in rapida evoluzione

Come dettagliato precedentemente nella sezione “Principali Attori”, i dati genetici umani sono sempre più rilevanti per una vasta gamma di scopi, sia scientifici che commerciali. Gli sviluppi nella scienza dei dati genetici e nelle tecnologie di trattamento rendono sostanzialmente più difficile affrontare i rischi e le minacce corrispondenti, nonché adattare l'attuale quadro giuridico e i principi per tutelare adeguatamente i diritti fondamentali dei soggetti dei dati. Considerato il continuo mutamento delle condizioni di sviluppo tecnologico e scientifico, è difficile mantenere flessibilità e adeguatezza e, allo stesso tempo, conformarsi alle disposizioni giuridiche e ai principi (che potrebbero diventare obsoleti).

L'attuale quadro giuridico cerca di affrontare tali sfide mantenendo un linguaggio volutamente generale, flessibile e ampio (sia in termini di definizioni che di principi). Un esempio di ciò è la definizione di dati genetici nel GDPR, che è dettagliata ma allo stesso tempo basata su termini generali, in modo che non diventi irrilevante. L'Articolo 4 del GDPR, ad esempio, illustra i dati genetici come dati personali ottenuti dall'analisi di campioni biologici. Di per sé, questa definizione potrebbe non essere sufficiente per rappresentare tutta la realtà in gioco. Tuttavia, l'interpretazione congiunta dell'Articolo 4 (che afferma “in particolare”, suggerendo che si tratta di una definizione non esaustiva) e del considerando 34,[13] secondo cui i dati genetici sono ottenuti anche dall'analisi di altri elementi (e non solo di campioni biologici), fornisce una definizione concettuale che mira a includere realtà che potrebbero non essere ancora conosciute.

Tuttavia, la tecnologia genetica ha iniziato ad essere ampiamente utilizzata solo recentemente e si può ragionevolmente supporre che le tecniche di analisi dei dati genetici aumenteranno sia in complessità che in dimensione. Lo sviluppo agile e i rapidi cambiamenti in tali processi, nonché la prevista riduzione dei costi, delineano un futuro che potrebbe presentare complesse sfide legali in materia di protezione dei dati nel contesto del trattamento dei dati genetici umani. [14] Tali sfide diventano sempre più rilevanti alla luce dei nuovi rischi e minacce e della necessità di fornire adeguate garanzie giuridiche e tutele che potrebbero non essere ancora in atto.

[9] Wan, Z., Hazel, J.W., Clayton, E.W. et al. Sociotechnical safeguards for genomic data privacy. Nature Reviews Genetics 23, 429-445 (2022).

[10] Caso S. e Marper contro il Regno Unito, Ricorsi n. 30562/04 e 30566/04, 4 dicembre 2008, CEDU [GC].

[11] Case of M.K. v. France, Application no. 19522/09, 18 April 2013, ECHR.

[12] European Parliament (Committee on Petitions), Notice to members on improving the protection of genetic data related to European Union citizens, 15/03/2019.

[13] Christopher Kuner, Lee A. Bygrave, Christopher Docksey, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p. 201.

[14] Explanatory memorandum to Protection of health-related data - Recommendation CM/Rec(2019)2, par. 69

Opportunità e incentivi

Nonostante tutte le sfide sollevate in precedenza, il trattamento dei dati genetici umani è essenziale per una vasta gamma di attività nella nostra società e, come già indicato, le future scoperte tecnologiche e scientifiche sveleranno il pieno potenziale che potrebbe essere raggiunto con il trattamento dei dati genetici.

In particolare, nelle industrie della salute, della medicina e della farmaceutica, specialmente nel contesto dei laboratori di ricerca accademica, la ricerca basata su dati genetici umani è di fondamentale importanza. A tale riguardo, è essenziale sottolineare che gli strumenti giuridici internazionali, regionali e nazionali offrono un maggiore grado di libertà e un trattamento legale meno rigoroso in relazione al trattamento dei dati genetici umani per scopi di ricerca e archiviazione nell'interesse pubblico, nonché per scopi scientifici, storici o statistici.

Infatti, sebbene la Convenzione 108+ stabilisca che il trattamento dei dati genetici umani debba essere effettuato sulla base del consenso libero, specifico, informato e inequivocabile del soggetto dei dati o su un altro legittimo fondamento previsto dalla legge, e il GDPR stabilisca che il trattamento di categorie speciali di dati (che includono i dati genetici umani) è vietato, a meno che non si applichino specifiche eccezioni definite dal regolamento, entrambi gli strumenti giuridici stabiliscono deroghe chiare riguardo al trattamento dei dati genetici umani per scopi di archiviazione nell'interesse pubblico, per scopi di ricerca scientifica o storica o per scopi statistici.

Indipendentemente da ciò, tale trattamento deve basarsi sulla legge e deve essere soggetto a salvaguardie appropriate. Ad esempio, in alcuni casi, potrebbe essere necessario che il soggetto dei dati non sia identificabile attraverso misure tecniche e organizzative come l'anonimizzazione (ad esempio, nei risultati o nelle statistiche che derivano da tale trattamento dei dati). Tuttavia, se l'identità del soggetto dei dati è essenziale per l'attività di trattamento, un'eccezione a questa regola potrebbe essere applicabile.

Il GDPR contiene diverse eccezioni ai principi di protezione dei dati personali e limita parzialmente i diritti del soggetto dei dati nell'interesse della scienza, come specifiche deroghe ai principi di limitazione dello scopo e della conservazione dei dati. Ad esempio, l'Articolo 5 stabilisce che il successivo trattamento dei dati personali è consentito per scopi di ricerca scientifica e non sarà considerato incompatibile con gli scopi iniziali, nonché che i dati personali possono essere conservati per periodi più lunghi per tali scopi.

Inoltre, l'Articolo 14(5) del GDPR include un'eccezione agli obblighi di informazione del titolare del trattamento nei casi in cui i dati personali non siano stati ottenuti dal soggetto dei dati, se la fornitura di tali informazioni comporta uno sforzo sproporzionato nel contesto del trattamento per scopi di archiviazione, ricerca scientifica o storica. Deroghe simili si applicano al diritto all'oblio (Articolo 17 del GDPR) e al diritto di opposizione (Articolo 21 del GDPR) nei casi di trattamento dei dati per la ricerca scientifica.

Passi pratici

Come già menzionato, il trattamento dei dati genetici è generalmente vietato, a meno che non si adempiano le esenzioni e le condizioni previste dall'articolo 9(2) del GDPR. Pertanto, il primo e principale passo pratico che dovrebbe essere intrapreso da un potenziale titolare del trattamento dei dati genetici umani è valutare se i dati da trattare siano effettivamente dati personali e, inoltre, se tali dati siano dati genetici, ossia una categoria speciale di dati.

Una volta compiuta tale valutazione, diventa essenziale valutare e determinare gli scopi, la base giuridica e le garanzie di protezione dei dati associati a tali attività. Il trattamento lecito, corretto e trasparente dei dati genetici umani implica, tra le altre cose, i seguenti aspetti: i) il titolare del trattamento ha identificato una base giuridica appropriata (sia ai sensi degli articoli 6 che 9 del GDPR, cumulativamente); ii) le attività perseguite con tali dati personali non sono illecite in senso generale; iii) il titolare del trattamento ha valutato e considerato i modi in cui il trattamento potrebbe influire sui diritti dei soggetti dei dati (inclusi eventuali test di bilanciamento, esercizi di proporzionalità e valutazioni di impatto); iv) i dati personali saranno trattati in modi che possono essere ragionevolmente previsti dal soggetto dei dati (o in modi che il titolare del trattamento può chiaramente spiegare e giustificare in modo trasparente); v) le attività di raccolta e trattamento dei dati non ingannano o fuorviano i soggetti dei dati.

Spesso, il trattamento dei dati genetici può essere basato sul consenso del soggetto dei dati. In questo contesto, è essenziale garantire che tale consenso sia stato volontario, chiaramente espresso, libero e informato, tramite una dichiarazione scritta o orale. Pertanto, il consenso deve essere dato tramite una dichiarazione o una chiara azione affermativa. L'inattività, i comportamenti passivi o i moduli pre-validati o le caselle di controllo non costituiscono consenso (considerando il considerando 32 del GDPR). Inoltre, il soggetto dei dati ha il diritto di ritirare il proprio consenso in qualsiasi momento senza pregiudicare le attività di trattamento dei dati intraprese fino a tale momento.

Il titolare del trattamento deve fornire al soggetto dei dati informazioni adeguate riguardo agli scopi per cui i dati genetici umani saranno trattati, i rischi e le conseguenze associati al trattamento di tali dati, nonché la possibilità di trasferire i dati personali ai responsabili del trattamento (ovvero entità che trattano i dati personali per conto loro). Per quanto riguarda quest'ultimo punto, devono essere adottate misure e fornite istruzioni dal titolare del trattamento al responsabile (ad esempio, tramite strumenti contrattuali come gli accordi di trattamento dei dati) per garantire che tutte le attività di trattamento intraprese dal responsabile siano lecite, corrette, trasparenti e sicure.

Inoltre, il principio di non discriminazione e non stigmatizzazione implica che il trattamento dei dati genetici umani non debba essere utilizzato per scopi che discriminano in modo tale da violare, o che abbiano l'effetto di violare, i diritti umani, le libertà fondamentali o la dignità umana dell'individuo o per scopi che portano alla stigmatizzazione di un individuo, una famiglia, un gruppo o delle comunità. Il principio di proibizione della discriminazione e/o stigmatizzazione nel trattamento dei dati genetici è rafforzato da numerosi importanti strumenti giuridici internazionali, tra cui il GDPR (ad esempio, i considerando 75 e 85), la Dichiarazione internazionale sulla protezione dei dati genetici umani della UNESCO del 2003 (ad esempio, gli articoli 3 e 7) e la Convenzione 108+.

In questo contesto, è fondamentale garantire l'autodeterminazione informativa in modo tale da assicurare che i soggetti dei dati possano decidere liberamente e autonomamente cosa accade ai propri dati personali. Ciò include una particolare attenzione al principio di limitazione dello scopo. I titolari del trattamento possono trattare i dati genetici solo con il consenso o il riconoscimento del soggetto dei dati (come applicabile), condividendo in modo trasparente informazioni relative a qualsiasi accordo di condivisione dei dati e ai periodi di conservazione dei dati. Inoltre, i titolari del trattamento devono limitare la raccolta dei dati genetici a scopi limitati e chiaramente definiti, al fine di minimizzare gli impatti negativi sui diritti del soggetto dei dati. Lo scopo del trattamento e/o la conservazione dei dati genetici devono essere giustificati in modo adeguato, nonché necessari e proporzionati in base agli obiettivi che si intendono raggiungere.

A tale riguardo, l'articolo 16 della Dichiarazione internazionale sulla protezione dei dati genetici umani della UNESCO impone che il trattamento dei dati genetici umani (così come dei dati proteomici umani e dei campioni biologici raccolti) non debba essere effettuato per uno scopo diverso da quello compatibile con lo scopo originale.

Deve essere altresì rispettato il principio di minimizzazione dei dati genetici trattati in conformità a quanto strettamente necessario per lo scopo corrispondente. I titolari del trattamento devono garantire che i dati trattati siano adeguati, pertinenti e non eccessivi rispetto allo scopo per cui sono raccolti e/o ulteriormente trattati. Questo principio è strettamente legato al principio di proporzionalità, poiché presuppone un test di proporzionalità volto a raggiungere un equilibrio tra lo scopo del trattamento dei dati e i diritti del soggetto dei dati, al fine di valutare e determinare qual è il minimo necessario per lo scopo in questione (ossia i dati necessari per ottenerlo e quelli che vanno oltre tali obiettivi).

Ad esempio, secondo il Documento di Lavoro del Gruppo di Lavoro Articolo 29 sui Dati Genetici, l'Autorità Spagnola per la Protezione dei Dati ha "ritenuto che la creazione di un archivio di campioni genetici per identificare i neonati tramite test del DNA non fosse corretta. Lo scopo di tali archivi sarebbe stato prevenire mismatch madre-neonato. L'Autorità Spagnola per la Protezione dei Dati ha ritenuto che la creazione di un archivio genetico avrebbe violato il principio di proporzionalità poiché lo stesso risultato poteva essere ottenuto in modo affidabile con altri mezzi, ad esempio braccialetti di identità o impronte digitali". (p. 6)

Anche strettamente associato ai principi di proporzionalità, limitazione dello scopo e minimizzazione dei dati, i titolari del trattamento possono conservare i dati genetici umani solo per il tempo necessario a tale trattamento. Ciò significa che i dati personali non devono essere conservati o mantenuti per periodi più lunghi di quelli necessari in relazione allo scopo per cui sono stati raccolti, e che tali periodi devono essere chiaramente e accuratamente definiti in relazione a ciascun scopo (ossia il principio di limitazione della durata della conservazione).

Ad esempio, l'articolo 21 della Dichiarazione internazionale sulla protezione dei dati genetici umani della UNESCO impone, tra le altre disposizioni, che " I dati genetici umani, i dati proteomici umani e i campioni biologici raccolti da un sospetto durante un'indagine criminale devono essere distrutti quando non sono più necessari, salvo diversa disposizione della legislazione nazionale compatibile con il diritto internazionale dei diritti umani.", nonché che tali dati "dovrebbero essere disponibili per scopi forensi e procedimenti civili solo per il tempo necessario a tali procedimenti, salvo diversa disposizione della legislazione nazionale compatibile con il diritto internazionale dei diritti umani".

La sicurezza, la qualità, l'affidabilità e la precisione dei dati genetici umani implicano che i titolari del trattamento debbano anche cercare di evitare che qualsiasi attività nel contesto del trattamento dei dati genetici umani (come i risultati dei test genetici) contenga errori, imprecisioni o inesattezze, nonché l'obbligo di aggiornare, rettificare o modificare i dati ogni volta che è necessario (ciò si collega anche al diritto del soggetto dei dati alla rettifica dei dati).

L'articolo 15 della Dichiarazione internazionale sulla protezione dei dati genetici umani della UNESCO stabilisce che "le persone e le entità responsabili del trattamento dei dati genetici umani, dei dati proteomici umani e dei campioni biologici dovrebbero prendere le misure necessarie per garantire l'accuratezza, l'affidabilità, la qualità e la sicurezza di questi dati e del trattamento dei campioni biologici. Dovrebbero esercitare rigore, cautela, onestà e integrità nel trattamento e nell'interpretazione dei dati genetici umani, dei dati proteomici umani o dei campioni biologici, in vista delle loro implicazioni etiche, legali e sociali".

Inoltre, i titolari del trattamento devono garantire che i dati genetici umani siano conservati in modo conforme a rigorose misure di sicurezza, integrità e riservatezza. Ciò significa che i dati genetici umani non devono essere divulgati o resi accessibili a terzi (ossia devono essere trattati come riservati) e che la privacy dei soggetti dei dati che partecipano alle attività di trattamento dei dati genetici umani deve essere protetta. Inoltre, i titolari del trattamento devono implementare tutte le misure tecniche e organizzative necessarie per proteggere la sicurezza e l'integrità dei dati. Ad esempio, per prevenire l'accesso non autorizzato, la modifica illegale o la perdita/distruzione dei dati (in generale, protezione contro qualsiasi trattamento non autorizzato o illecito), il titolare del trattamento deve garantire una solida infrastruttura dei dati che non sia permeabile ai rischi informatici, come attacchi informatici esterni o abusi interni.

A tale riguardo, l'articolo 14 della Dichiarazione internazionale sulla protezione dei dati genetici umani della UNESCO stabilisce che "i dati genetici umani raccolti per scopi di ricerca scientifica non dovrebbero normalmente essere collegati a una persona identificabile. Anche quando tali dati o campioni biologici non siano collegati a una persona identificabile, dovrebbero essere prese le precauzioni necessarie per garantire la sicurezza dei dati o dei campioni biologici".

L'articolo 32 del GDPR impone che i titolari e i responsabili del trattamento "mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:", tenendo conto dello stato dell'arte, dei costi di implementazione di tali misure e della natura, portata, contesto e scopi del trattamento, nonché del rischio di probabilità e gravità variabile per i diritti e le libertà delle persone fisiche. Ciò include, tra l'altro, la pseudonimizzazione e la cifratura dei dati personali, ssicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità i ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico. Tali misure devono essere continuamente revisionate e migliorate tramite processi stabiliti per il collaudo regolare, la valutazione e la valutazione dell'efficacia delle misure tecniche e organizzative in atto.

Interazione con i regolatori

Le autorità nazionali per la protezione dei dati supervisionano la conformità ai principi di protezione dei dati e al GDPR. Secondo il principio di responsabilizzazione stabilito dal GDPR (articolo 5(2)), i titolari del trattamento devono dimostrare la conformità agli obblighi, alle norme e alle disposizioni in materia di protezione dei dati.

Nonostante la possibilità per i soggetti dei dati di presentare un reclamo alle autorità per la protezione dei dati competenti, le autorità possono anche impegnarsi attivamente in attività di monitoraggio. La non conformità agli obblighi di protezione dei dati può essere sanzionata con multe amministrative che possono arrivare fino a 20 milioni di euro o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (articolo 83 del GDPR).

Inoltre, altre autorità potrebbero essere coinvolte nel contesto del trattamento dei dati genetici umani (e delle attività correlate), come le autorità settoriali e specifiche di settore a livello regionale e nazionale. Ad esempio, nel contesto della ricerca medica e clinica, potrebbe esserci la necessità di ottenere alcune autorizzazioni/certificazioni o di dimostrare la conformità a determinate normative settoriali. A titolo di esempio, questo è il caso delle sperimentazioni cliniche per l'indagine sulla sicurezza e sull'efficacia dei medicinali umani. In questo contesto, altre autorità europee (come l'Agenzia Europea dei Medicinali) e nazionali potrebbero essere coinvolte nel monitoraggio della conformità o nelle attività regolatorie generali.

Legisalzione dell’Unione Europea

Direttiva 2001/83/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai medicinali per uso umano, OJ L 311, 28.11.2001, p. 67-128, numero CELEX: 32001L0083

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche (disponibile nelle 24 lingue ufficiali dell'UE)
Sommario del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Gruppo di Lavoro Articolo 29 sulla protezione dei dati, Documento di lavoro sui dati genetici, 17 marzo 2004, 12178/03/EN, WP 91

Testo originale

Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014 , sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE Testo rilevante ai fini del SEE, OJ L 158, 27.5.2014, p. 1-76, numero CELEX: 32014R0536

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche (disponibile nelle 24 lingue ufficiali dell'UE)
Sommario del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE), OJ L 119, 4.5.2016, p. 1-88, numero CELEX: 32016R0679

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche (disponibile nelle 24 lingue ufficiali dell'UE)
Sommario del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, OJ L 119, 4.5.2016, p. 89-131, numero CELEX: 32016L0680

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche (disponibile nelle 24 lingue ufficiali dell'UE)
Sommario del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Consiglio d'Europa (in inglese)

Recommendation No. R (92) 1 of the Committee of Ministers to Member States on the Use of Analysis of Deoxyribonucleic Acid (DNA) within the Framework of the Criminal Justice System, 10 February 1992

Original text

Recommendation No. R (92) 3 of the Committee of Ministers to Member States on Genetic Testing and Screening for Health Care Purposes, 10 February 1992

Original text

Recommendation No. R (97)5 of the Committee of Ministers to Member States on the Protection of Medical Data, 13 February 1997

Original text

Convention for the protection of Human Rights and Dignity of the Human Being with regard to the Application of Biology and Medicine: Convention on Human Rights and Biomedicine, European Treaty Series - No. 164, Oviedo, 4 April 1997

Original text

Additional Protocol to the Convention on Human Rights and Biomedicine, concerning Genetic Testing for Health Purposes, Council of Europe Treaty Series - No. 203, Strasbourg, 27 November 2008

Original text

Explanatory Report to the Additional Protocol to the Convention on Human Rights and Biomedicine concerning Genetic Testing for Health Purposes, Council of Europe Treaty Series - No. 203, Strasbourg, 27 December 2008

Original text

Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Council of Europe European Treaty Series - No. 108, Strasbourg, 28 January 1981

Original text

Additional protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows, Council of Europe, European Treaty Series - No. 181, Strasbourg, 8 November 2001

Original text

Modernised Convention for the protection of individuals with regard to the processing of personal data, Convention 108+, 18 May 2018

Original text

Recommendation CM/Rec(2015)5 of the Committee of Ministers to member States on the processing of personal data in the context of employment, 1st April 2015

Original text

Explanatory Memorandum to Recommendation CM/Rec(2015)5 of the Committee of Ministers to member States on the processing of personal data in the context of employment, 1st April 2015

Original text

Recommendation CM/Rec(2016)6 of the Committee of Ministers to member States on research on biological materials of human origin, 11 May 2016

Original text

Recommendation CM/Rec(2016)8 of the Committee of Ministers to the member States on the processing of personal health-related data for insurance purposes, including data resulting from genetic tests, 26 October 2016

Original text

Recommendation CM/Rec (2019)2 of the Committee of Ministers to member States on the protection of health-related data, 27 March 2019

Original text

Nazioni Unite (in inglese)

Universal Declaration on Human Genome and Human Rights, 11 November 1997
UNESCO’s International Declaration on Human Genetic Data, 16 October 2003

Letterature pertinente (in inglese)

The law of genetic privacy: applications, implications, and limitations - Ellen Wright Clayton, Barbara J Evans, James W Hazel, Mark A Rothstein, Journal of Law and the Biosciences, Volume 6, Issue 1, (10/2019), Pages 1-36.
- Scientific abstract
Handbook on European data protection law - European Union Agency for fundamental rights, 2018.
Processing of Biometric and Genetic Data - European Standards – Institute for Development of Freedom of Information (02/2022).
Privacy and Data Protection Issues of Biometric Applications - Kindt, Els J. (2013). In A Comparative Legal Analysis (Vol. 12). Springer.
The EU General Data Protection Regulation (GDPR): A Commentary, Christopher Kuner, Lee A. Bygrave, Christopher Docksey, Laura Drechsler and Luca Tosoni, (editors) Oxford University Press, 2020, p. 201.
- Scientific abstract
How wide is the application of genetic big data in biomedicine - Yanan Liu, Na Li, Xiao Zhu, Yi Qi. Biomedicine & Pharmacotherapy, Volume 133, 2021, 111074.
- Scientific abstract
The GDPR and genomic data - the impact of the GDPR and DPA 2018 on genomic healthcare and research - C Mitchell, J Ordish, E Johnson, T Brigden, A Hall - PHG Foundation, 2020.
- Scientific abstract
OECD Guidelines on human biobanks and genetic research databases - 2018
Rules for processing genetic data for research purposes in view of the new EU General Data Protection Regulation - Shabani, M., Borry, P., European Journal of Human Genetics 26, (11/2017) : 149-156.
- Scientific abstract
Genetic Data and the Law: A Critical Perspective on Privacy Protection - Taylor M., Cambridge University Press; 2012.

Ulteriori informazioni

European Union, European Data Protection Board, members
National Human Genome Institute, Genomic Data Science Fact Sheet (genome.gov)
Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art. 70.1.b)), Adopted on 23 January 2019

Ringraziamenti

Pubblicazione: 20/03/2023

Autori:

Vera Lúcia Raposo, Associate Professor, NOVA School of Law - NOVA University of Lisbon; FutureHealthlaw / WhatNext.Law

Tomás de Brito Paulo, LL.M Law & Technology at Tilburg University, Tilburg, the Netherlands; Associate at Vieira de Almeida & Associados, Lisbon, Portugal

Revisione:

Aurélie Mahalatchimy, Responsabile EuroGCT del Work Package 4, UMR 7318 DICE CERIC, Aix-Marseille Università, CNRS, Aix-en-Provence, Francia

Traduzione:

Victoria Burakova-Lorgnier, Giurista, UMR 7318 DICE CERIC, Aix-Marseille Università, Aix-en-Provence, Francia nell'aprile 2025

Torna in alto

Domande frequenti

Glossario

Seleziona una lingua

Condizione

Tema