Raccolta, elaborazione e controllo dei dati

Si prega di notare che, sebbene questa voce sia stata tradotta in italiano da un giurista sulla base delle versioni francese e inglese e della documentazione normativa di riferimento, potrebbero comunque sussistere errori.

Introduzione

Lo sviluppo della ricerca medica e, più in generale, della ricerca scientifica, nonché dell’assistenza sanitaria, incluso il settore della terapia genica e cellulare, è oggi inseparabile dal trattamento e dall'analisi dei dati sanitari, la cui produzione è notevolmente accelerata negli ultimi anni. Infatti, la ricerca medica e l'assistenza sanitaria sembrano essere guidate dallo sfruttamento di questi dati, che sono visti come una miniera di informazioni essenziali per la ricerca (ricerca basata sui dati) odierna. Poiché i dati sanitari rivelano informazioni sensibili sugli individui coinvolti, il loro utilizzo è strettamente regolato per preservare i diritti degli interessati (noti anche come "soggetti dei dati"). Oltre al loro utilizzo, è il loro riutilizzo (chiamato anche "ulteriore trattamento" o "uso secondario") ad essere di particolare interesse nel campo della ricerca medica. Infatti, la produzione sempre crescente di dati oggi, combinata con l'evoluzione delle tecniche di analisi per il trattamento dei dati, incluse le tecniche di intelligenza artificiale, consente di estrarre informazioni utili per la ricerca medica e l'assistenza sanitaria dai grandi volumi di dati raccolti. Tuttavia, a causa dell'alta sensibilità dei dati relativi alla salute, l'uso di tali tecniche deve essere rigorosamente controllato per non violare i diritti e le libertà degli interessati.

Il Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679, di seguito denominato GDPR), entrato in vigore il 25 maggio 2018, regola rigorosamente la raccolta e il trattamento dei dati personali. Il GDPR impone obblighi a organizzazioni pubbliche o private, indipendentemente dalle loro dimensioni, che trattano dati personali per conto proprio o di terzi, stabiliti in Europa o che, non essendo stabiliti in Europa, mirano o raccolgono dati relativi a persone all'interno dell'Unione Europea. Il Capitolo VIII del GDPR prevede pesanti sanzioni per la non conformità alle sue disposizioni (l'importo delle multe può arrivare fino a 20 milioni di euro o, nel caso di una società, fino al 4% del fatturato annuale globale). Tali sanzioni possono essere rese pubbliche.

Per quanto riguarda il riutilizzo dei dati per scopi di ricerca scientifica, il GDPR fornisce un quadro giuridico che continua a alimentare dibattiti nella sua interpretazione.

Per quanto riguarda i dati sanitari e i dati genetici in particolare, questi sono considerati dal GDPR come appartenenti a categorie speciali di dati personali (vedi anche il sottovoce "Classificazione dei dati"). Infatti, a causa delle potenziali informazioni sullo stato di salute di una persona che potrebbero rivelare, la loro sensibilità ha portato all'istituzione di un principio generale di divieto del loro trattamento (Art. 9(1) GDPR) - un principio per il quale esistono diverse eccezioni (Art. 9(2) GDPR).

La protezione dei dati personali è un diritto fondamentale riconosciuto dalla Carta dei Diritti Fondamentali dell'Unione Europea nell'articolo 8. I dati degli individui devono essere trattati in modo lecito, per scopi specifici e sulla base del consenso del soggetto dei dati o di altra base legittima stabilita dalla legge (vedi anche il sottovoce "Principali principi"). Ogni individuo ha il diritto di accedere ai dati raccolti su di lui/lei e di correggerli.

Attori principali

Soggetto dei dati: La persona identificata o identificabile da cui sono stati raccolti i dati o che è coinvolta nel trattamento dei dati effettuato se i dati non sono stati raccolti direttamente da essa e alla quale il GDPR ha conferito diritti riguardo all’uso dei suoi dati personali.

Titolare del trattamento: Il titolare del trattamento è la persona giuridica (azienda, ente pubblico, ecc.) o la persona fisica che determina le finalità e i mezzi di un'operazione di trattamento, ossia l’obiettivo e il modo in cui viene svolto. In pratica e generalmente, è l’organizzazione stessa, e non un individuo all’interno dell’organizzazione, ad agire come titolare del trattamento. Il GDPR fornisce una definizione del titolare del trattamento nell’articolo 4(7).

Il titolare del trattamento è quindi colui che ha la responsabilità del trattamento, che è incaricato del "controllo". In base al principio di responsabilizzazione previsto dal GDPR, il titolare del trattamento è responsabile della conformità del trattamento dei dati personali alle normative sulla protezione dei dati personali.

È possibile che vi siano più titolari del trattamento: in tal caso, saranno titolari congiunti del trattamento e definiranno i rispettivi obblighi al fine di garantire la conformità delle operazioni di trattamento effettuate in un contratto specifico (Articolo 26 del GDPR).

Per ulteriori informazioni: Comitato Europeo per la Protezione dei Dati, Linee guida 07/2020 sui concetti di titolare del trattamento e responsabile del trattamento nel GDPR.

Responsabile del trattamento: Il responsabile del trattamento è una persona fisica o giuridica, un’autorità pubblica, un dipartimento o altro organismo che tratta i dati personali per conto del titolare del trattamento (Articolo 4(8) del GDPR). Il responsabile del trattamento deve fornire garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate affinché il trattamento sia conforme alla legge sulla protezione dei dati personali e garantisca la protezione dei diritti e delle libertà degli individui. Gli Articoli 28 e 29 del GDPR stabiliscono le regole che disciplinano la delega delle operazioni di trattamento ai responsabili del trattamento da parte del titolare del trattamento.

Per ulteriori informazioni: Comitato Europeo per la Protezione dei Dati, Linee guida 07/2020 sui concetti di titolare del trattamento e responsabile del trattamento nel GDPR.

Responsabile della protezione dei dati (DPO): Il Responsabile della protezione dei dati (noto come « DPO ») è responsabile di garantire la conformità con il GDPR all'interno dell'organizzazione che lo ha nominato riguardo a tutti i trattamenti effettuati da tale organizzazione. È responsabile del monitoraggio della conformità con le regole del GDPR, ma anche con altre disposizioni della legge dell'UE o degli Stati membri sulla protezione dei dati personali e con le regole interne adottate dal titolare e dal responsabile del trattamento in materia di protezione dei dati personali. In alcuni casi definiti nell’Articolo 37 del GDPR, la nomina del DPO da parte del titolare è obbligatoria (in particolare quando le attività del titolare includono il trattamento massivo di dati particolari, inclusi i dati sanitari). La nomina, la posizione e i compiti del DPO sono dettagliati nella Sezione 4 del GDPR (Articoli 37-39). In particolare, quando viene nominato un DPO, i soggetti dei dati possono contattarlo per qualsiasi domanda relativa al trattamento dei loro dati personali e all’esercizio dei loro diritti. Il coinvolgimento del DPO nella definizione di qualsiasi trattamento di dati personali è di fondamentale importanza, in particolare quando sono coinvolte categorie sensibili di dati personali e quando è necessario un assessment dell’impatto sulla protezione dei dati.

Autorità di controllo: L’autorità di controllo è un’autorità pubblica indipendente stabilita da uno Stato membro per monitorare l'applicazione delle leggi sulla protezione dei dati al fine di proteggere i diritti e le libertà fondamentali degli individui riguardo al trattamento dei loro dati personali e per facilitare il libero flusso dei dati personali. I soggetti dei dati interessati dal trattamento dei loro dati personali possono rivolgersi a questa autorità se i loro diritti sono violati. Le autorità di controllo collaborano con i titolari del trattamento e/o i DPO per garantire la conformità del trattamento dei dati personali nel territorio.

In caso di trattamento di dati transfrontaliero, l’autorità di controllo del luogo principale di attività o dell’unico luogo di attività del titolare o del responsabile del trattamento è competente per agire come autorità di controllo principale (Articolo 56 del DGPR).

Il Capitolo VI del GDPR (Articoli 51-59) descrive lo stato, l’organizzazione, le competenze, i compiti e i poteri delle autorità di controllo.

(Si veda anche il sottovoce “Autorità per la protezione dei dati”)

Comitato Europeo per la Protezione dei Dati (EDPB): Il Comitato Europeo per la Protezione dei Dati è un organismo indipendente dell'Unione Europea previsto dal GDPR (Articoli 68-76). Ha sostituito il Gruppo di lavoro Articolo 29 (Art.29 WP). Il suo compito principale è garantire l’interpretazione armonizzata del GDPR in tutti gli Stati membri dell’UE. In base all’Articolo 64 del GDPR, è chiamato a emettere pareri formali e, in base all’Articolo 65, a prendere decisioni vincolanti in caso di controversie tra le autorità. Inoltre, tramite lo sviluppo di linee guida e pareri, il Comitato Europeo per la Protezione dei Dati contribuisce alla posizione comune delle autorità di protezione dei dati dell’UE, fornendo chiarimenti sull'interpretazione delle disposizioni del GDPR.

Definizioni

Raccolta dei Dati: Si riferisce alla fase iniziale del ciclo di trattamento dei dati personali. Consiste nell'atto di raccogliere i dati, attraverso qualsiasi metodo, per scopi ritenuti essenziali per le attività di trattamento. Ai sensi dell'Articolo 5(b) del GDPR, i dati personali devono essere raccolti per scopi specifici, chiari e legittimi e tali dati non devono essere successivamente trattati per scopi incompatibili con l'intento originale della raccolta.

Le operazioni di raccolta sono considerate attività di trattamento dei dati personali e devono quindi rispettare le disposizioni del GDPR. Tale raccolta può essere effettuata direttamente dal titolare del trattamento presso gli interessati. In alcuni casi, i dati potrebbero non essere raccolti direttamente dagli interessati, specialmente nei casi in cui i dati vengano riutilizzati da un altro titolare del trattamento.

Questo trattamento dei dati implica l'informazione degli interessati, anche se i dati non sono stati raccolti direttamente presso di loro (informazioni da fornire elencate negli articoli 13 e 14 del GDPR), a meno che non si applichi un'eccezione prevista dall'articolo 14 del GPDR.

Acquisizione dei Dati: Si riferisce a situazioni in cui i dati non sono raccolti direttamente dagli interessati, ma piuttosto acquisiti da una terza parte che li ha già raccolti per scopi diversi. Ad esempio, i dati potrebbero essere prelevati da repository di dati, trasferiti da registratori di dati o acquisiti tramite meccanismi di raccolta dati. Il considerando 10 del Regolamento (UE) 2022/868 sulla Governance dei Dati in Europa fa riferimento al termine "acquisizione dei dati" in relazione alla Direttiva (UE) 2016/943, che disciplina l'ottenimento, l'uso o la divulgazione lecita dei segreti commerciali.

Trattamento dei Dati: Comprende qualsiasi operazione o insieme di operazioni effettuate sui dati personali, con mezzi automatizzati o non automatizzati. Questo include azioni come la raccolta, la registrazione, l'organizzazione, la conservazione, la modifica, il recupero, la consultazione, l'uso, la trasmissione o la diffusione dei dati personali, tra le altre (Articolo 4(2) del GDPR).

Questo termine copre ampiamente pratiche come la preparazione e l'analisi dei dati, indipendentemente dallo scopo del trattamento. Il trattamento dei dati deve rispettare le condizioni di liceità stabilite dal GDPR e deve essere finalizzato a scopi determinati prima della raccolta e dell'uso dei dati. Si distingue tra due categorie di trattamento:

L'uso primario si riferisce alla situazione in cui i dati sono stati raccolti ed elaborati per uno scopo specifico.
L'uso secondario si riferisce al trattamento dei dati precedentemente raccolti per uno scopo diverso da quello originariamente previsto al momento della raccolta. Questo uso secondario include potenzialmente responsabili del trattamento diversi da quelli che hanno originariamente raccolto i dati.
Esistono diverse tecniche di trattamento dei dati:
Trattamento manuale (cioè non computerizzato),
E trattamento automatizzato (cioè computerizzato che può includere sistemi di intelligenza artificiale).

Pertanto, il trattamento dei dati personali non è necessariamente informatizzato: anche i file cartacei sono interessati e devono essere protetti alle stesse condizioni. Qualunque sia la tecnica di trattamento dei dati personali utilizzata (automatizzata o meno), si applicheranno le norme del GDPR.

Sistema di Intelligenza Artificiale (AIS): In conformità con il testo di compromesso del Regolamento proposto sull'Intelligenza Artificiale del 15 luglio 2022, un sistema di IA si riferisce a un sistema progettato per operare autonomamente per raggiungere obiettivi specifici definiti dall'uomo utilizzando tecniche di apprendimento automatico e/o approcci basati su logica e conoscenza. Tali sistemi generano risultati come contenuti (IA generativa), previsioni, raccomandazioni o decisioni che possono influenzare l'ambiente con cui interagiscono.

Il Machine Learning e il Deep Learning sono due sottocategorie delle tecniche di IA comunemente utilizzate nel trattamento dei dati:

Machine Learning: Un sottoinsieme dell'IA, che consente ai sistemi di apprendere dai dati tramite modelli matematici per estrarre informazioni rilevanti dai set di dati di addestramento.
Deep Learning: Una forma avanzata di apprendimento automatico che utilizza reti neurali in cui il sistema apprende autonomamente senza l'intervento umano. La logica alla base dei modelli di deep learning è spesso complessa e non sempre interpretabile dai sviluppatori.

Autorità di Controllo: Si riferisce a un ente pubblico indipendente istituito in uno Stato Membro per sorvegliare l'applicazione delle leggi sulla protezione dei dati, salvaguardando i diritti e le libertà fondamentali degli individui in relazione ai loro dati personali. Tali autorità facilitano la libera circolazione dei dati personali all'interno dell'UE. In caso di violazione dei diritti o per domande riguardanti l'applicazione del GDPR e delle leggi nazionali sulla protezione dei dati, gli interessati e i titolari del trattamento/trasformatori possono rivolgersi all'autorità di controllo. Le disposizioni pertinenti sono indicate negli Articoli 51–67 del GDPR (Capitolo VI).

Valutazione d'Impatto sulla Protezione dei Dati (DPIA): Un processo che valuta i rischi delle attività di trattamento dei dati e le potenziali minacce alla protezione dei dati. Una DPIA deve essere condotta quando il trattamento è probabile che comporti rischi elevati per i diritti e le libertà degli interessati. La valutazione aiuta a identificare misure appropriate di mitigazione dei rischi a livello tecnico e organizzativo, come previsto dagli Articoli 35 e 36 del GDPR.

Registro delle Attività di Trattamento: Un registro tenuto dal titolare del trattamento (e, se del caso, dal suo rappresentante) che fornisce una panoramica delle operazioni di trattamento dei dati personali. Include dettagli come le parti coinvolte, le categorie di dati trattati, gli scopi del trattamento, i diritti di accesso ai dati, i periodi di conservazione, le misure di sicurezza e le persone a cui i dati possono essere comunicati. Questo registro è richiesto dall'Articolo 30 del GDPR.

Codice di Condotta: Si riferisce a una guida pratica che illustra l'applicazione concreta del regolamento sulla protezione dei dati applicabile a un determinato settore di attività e che consiste in buone prassi (periodo di conservazione, menzioni delle informazioni, metodi operativi [SOP], ecc.

Ai sensi del GDPR, un Codice di condotta è sviluppato da soggetti professionali (federazioni, organizzazioni professionali) che rappresentano categorie di responsabili o incaricati del trattamento. Un'organizzazione può aderire liberamente a un codice di condotta. Il GDPR prevede che un organismo terzo sia responsabile del controllo della conformità al codice, il che conferisce a questo strumento di conformità un carattere vincolante. I codici di condotta possono essere europei o nazionali; in quest'ultimo caso, l'autorità di controllo nazionale responsabile del monitoraggio dell'applicazione del GDPR ne convaliderà il contenuto prima di pubblicarli. Si veda l'articolo 40 del GDPR.

Meccanismo di Certificazione: Ai sensi dell'Articolo 42 del GDPR, vengono incoraggiati i meccanismi di certificazione della protezione dei dati per dimostrare che le attività di trattamento siano conformi alle leggi sulla protezione dei dati. La certificazione funge da garanzia scritta fornita da un organismo di certificazione esterno o da un'autorità di controllo che un prodotto, servizio o processo è conforme agli standard stabiliti dal regolamento. Questa certificazione è vincolante e richiede controlli regolari di conformità. Ha una durata limitata e deve essere rinnovata come specificato negli Articoli 42 e 43 del GDPR.

Problematiche

A causa dell'evoluzione rapida delle tecnologie e della crescente produzione di dati sanitari, nonché delle promesse che il loro trattamento porta alla ricerca medica e all'assistenza sanitaria, esiste una reale volontà di valorizzare i dati sanitari consentendone l'accesso e il riutilizzo, anche attraverso il loro incrocio con altri dati (come ad esempio dati geografici o ambientali), al fine di favorire innovazioni e miglioramenti della conoscenza medica e delle cure per i pazienti, in particolare tramite l'accelerazione della ricerca scientifica collaborativa. Tuttavia, a fronte dei benefici che potrebbero derivare dal trattamento dei dati personali, la raccolta di dati personali comporta rischi per i diritti e le libertà degli interessati che devono essere adeguatamente considerati. Infatti, le informazioni che rivelano direttamente o indirettamente lo stato di salute degli individui sono potenzialmente soggette a usi impropri (si veda anche la voce "Mission creep/Abuso dei dati") se utilizzate per scopi diversi, come per esempio la discriminazione, ad esempio da parte di una compagnia di assicurazioni o di una banca. È quindi essenziale pianificare misure adeguate che garantiscano operazioni di raccolta e trattamento dei dati personali responsabili ed etiche nella ricerca, aumentando la fiducia degli interessati.

Pertanto, è necessario trovare un equilibrio tra la protezione dei diritti degli individui e la messa a disposizione dei dati per la ricerca e la comunità sanitaria. In effetti, è necessario trovare un equilibrio tra la sottoutilizzazione dei dati, che comprometterebbe la ricerca condotta nell'interesse della popolazione, e la condivisione e accessibilità non regolamentate, che creerebbero rischi rilevanti per i diritti e le libertà degli individui.

È proprio questo equilibrio tra la salvaguardia dei diritti degli individui e la valorizzazione dei dati sanitari che si cerca di raggiungere nella futura regolamentazione sullo Spazio Europeo dei Dati Sanitari (EHDS). Questo futuro EHDS mira a sviluppare un ecosistema specifico per la salute che consenta l'istituzione di norme, pratiche, standard comuni, infrastrutture e un quadro di governance. Questo spazio ha lo scopo di:

Facilitare l'uso dei dati sanitari all'interno dell'Europa per migliorare le cure dei pazienti in tutta Europa, permettendo ai cittadini europei di controllare i propri dati sanitari nel proprio paese ma anche oltre confine, e
Promuovere il riutilizzo dei dati sanitari per la ricerca, l'innovazione e la creazione di politiche.

L'istituzione imminente dello Spazio Europeo dei Dati Sanitari (EHDS) ha come obiettivo principale il rafforzamento dell'efficacia dei diritti degli individui sui propri dati e l'apertura di nuove opportunità per l'accesso e il trattamento controllato dei dati sanitari per scopi di interesse pubblico, anche per la ricerca scientifica.

Affinché gli individui interessati possano esercitare i propri diritti ai sensi del GDPR e delle normative nazionali sulla protezione dei dati, è necessario che vengano informati in modo chiaro e trasparente riguardo al trattamento effettuato e ai propri diritti in relazione a tale trattamento. Questa informazione e la tutela dei diritti individuali sono essenziali per garantire la cosiddetta ricerca "partecipativa", dove gli individui sono consultati o almeno informati sull'uso dei loro dati. Poiché la ricerca medica si basa sulla partecipazione degli individui, è fondamentale mantenere un legame con gli stessi per favorire la loro fiducia. Questa fiducia è al centro degli attuali movimenti normativi per garantire l'uso responsabile a lungo termine dei dati sanitari.

In questo contesto, il progetto TEHDAS (Towards European Health Data Space) (TEHDAS è un'azione congiunta che mobilita venticinque paesi europei per fornire i concetti da includere nel futuro atto legislativo europeo per la creazione dello Spazio Europeo dei Dati Sanitari) ha posto l'impegno dei cittadini al centro del proprio lavoro. Questa azione congiunta pubblicherà presto raccomandazioni su questo tema. È stata lanciata una consultazione elettronica dei cittadini su questo argomento tra la fine del 2021 e la fine del 2022 al fine di raccogliere le opinioni dei cittadini europei sull'uso e il riutilizzo dei loro dati sanitari e proporre raccomandazioni su questo tema. Complessivamente, questa azione congiunta mira a creare condizioni di governance che permettano a tutti gli attori coinvolti nella creazione di questo Spazio Europeo dei Dati Sanitari di accedere ai dati sanitari in modo sicuro e trasparente, indipendentemente da dove siano memorizzati all'interno dell'Europa. Scopri di più e leggi i loro risultati qui.

In particolare, per quanto riguarda la ricerca genomica, la Global Alliance for Genomics and Health (GA4GH) produce linee guida riconosciute a livello internazionale come standard per sviluppare quadri normativi che consentano una condivisione responsabile dei dati genomici all'interno di un quadro di diritti umani. Per quanto riguarda le questioni di coinvolgimento dei cittadini/pazienti, hanno prodotto linee guida per stabilire un quadro per coinvolgere e impegnare i partecipanti, i pazienti e il pubblico nella ricerca genomica e nell'implementazione sanitaria.

Inoltre, le future normative dell'UE sull'intelligenza artificiale e sullo Spazio Europeo dei Dati Sanitari (EHDS) attribuiscono una significativa attenzione alle considerazioni etiche relative all'uso dell'intelligenza artificiale e dei dati sanitari. In particolare, la Commissione Europea ha pubblicato linee guida sul concetto di "etica by design" per la progettazione, lo sviluppo e l'uso di soluzioni di intelligenza artificiale etiche e responsabili, comprese le norme sulla gestione dei dati e sulla protezione dei dati.

In generale, è importante ricordare che le considerazioni etiche sono un aspetto vitale della ricerca medica e sono riflesse nella Dichiarazione di Helsinki dell'Associazione Medica Mondiale, considerata il testo fondante della bioetica. Questa dichiarazione stabilisce i principi etici applicabili alla ricerca medica che coinvolge esseri umani, compresa la ricerca su materiale biologico umano e dati identificabili. Inoltre, le considerazioni etiche relative alla ricerca medica sono anche riflesse nel Regolamento Europeo sugli studi clinici sui medicinali per uso umano del 16 aprile 2014. Infatti, il suo Considerando 80 ricorda che il Regolamento è in linea con i principi e le buone pratiche derivanti dalla Dichiarazione di Helsinki. A tal proposito, si sottolinea che ogni individuo (o il suo rappresentante legale) deve aver fornito il consenso informato per partecipare a uno studio clinico (Articolo 28(1)(c) del Regolamento (UE) n. 536/2014 sugli studi clinici sui medicinali per uso umano).

I dati genetici sono particolarmente sensibili a causa della natura intima e unica del patrimonio genetico, che li rende particolarmente personali e identificabili (in particolare quando viene utilizzata la sequenza genomica umana) e possono coinvolgere informazioni relative a terzi, come i membri della famiglia. Hanno un carattere informativo ma anche potenzialmente predittivo riguardo lo stato di salute di un individuo, il che spiega la protezione speciale che viene loro conferita a livello europeo dalle norme del GDPR. A questo proposito, la Convenzione di Oviedo del Consiglio d'Europa del 4 aprile 1997 proibisce qualsiasi forma di discriminazione basata sul patrimonio genetico. Inoltre, la Carta dei Diritti Fondamentali dell'Unione Europea, all'articolo 21, vieta qualsiasi forma di discriminazione basata sulle caratteristiche genetiche di un individuo.

Pertanto, a causa delle caratteristiche particolari dei dati genetici, è preferibile dal punto di vista legale non considerarli come dati anonimizzati, ma piuttosto pseudonimizzati, per garantire una protezione adeguata e i diritti individuali. In alcuni casi specifici, come ad esempio nei test genetici somatici (ad esempio utilizzando il genoma delle cellule tumorali), si considera ancora possibile anonimizzare i dati, a condizione che vengano rispettate rigorose condizioni di anonimizzazione (Testo di riferimento sull'argomento: Linee guida del Gruppo di Lavoro Articolo 29, Opinione 05/2014 sulle Tecniche di Anonimizzazione, 10 aprile 2014).

Inoltre, una delle sfide a livello europeo è la frammentazione del panorama normativo riguardante le regole applicabili al trattamento dei dati genetici e sanitari. Infatti, a causa della specificità di tali dati, il GDPR prevede la possibilità per gli Stati membri di introdurre condizioni aggiuntive, comprese limitazioni sul trattamento di tali dati (Articolo 9(4) GDPR). Pertanto, il quadro giuridico potrebbe variare da uno Stato all'altro. Il titolare del trattamento dovrà quindi assicurarsi che, oltre alle norme del GDPR, rispetti anche le leggi nazionali.

In particolare, per quanto riguarda il riutilizzo dei dati per la ricerca scientifica, il quadro normativo a livello UE deve ancora essere chiarito. In pratica, è ancora soggetto a interpretazioni divergenti nei vari Stati membri. Il Comitato Europeo per la Protezione dei Dati ha risposto ad alcune delle domande sollevate in tal senso. Sono attese linee guida sul trattamento dei dati personali per scopi di ricerca scientifica dal Comitato Europeo per la Protezione dei Dati.

L'intelligenza artificiale sarà presto regolamentata dal futuro Regolamento dell'UE sull'intelligenza artificiale (AI Act), proposto il 21 aprile 2021. Questo futuro regolamento mira a fornire un quadro armonizzato per i sistemi di IA sviluppati e commercializzati nell'UE. L'approccio adottato è quello di una classificazione del rischio a causa delle diverse problematiche relative alla violazione dei diritti esistenti nell'uso dei sistemi di IA (potenziale pregiudizio nella qualità dei dati che potrebbe portare a pregiudizi discriminatori), specialmente quando si tratta di dati sensibili come quelli sanitari e genetici. Questo futuro regolamento stabilirà anche regole armonizzate per il marketing, la commissione e l'uso dei sistemi di IA per garantire un alto livello di protezione all'interno dell'UE e garantire il rispetto dei valori e dei diritti fondamentali dell'UE. L'UE mira a promuovere l'adozione di IA etica e affidabile. Il Gruppo di Esperti di Alto Livello sull'IA costituito dalla Commissione Europea ha già stabilito linee guida sui sistemi di IA etici e affidabili. Ha anche fornito raccomandazioni per lo sviluppo di sistemi di IA etici "by design", promuovendo il rispetto per gli esseri umani, la privacy, la protezione dei dati personali e la governance dei dati, l'equità, il benessere individuale, sociale e ambientale, la trasparenza, la responsabilità e la supervisione.

L'UNESCO ha anche stabilito principi e valori da considerare come base per lo sviluppo di sistemi di IA etici, cioè al servizio degli individui, delle società, dell'ambiente e degli ecosistemi.

Inoltre, la Commissione Europea ha recentemente proposto due direttive sulla responsabilità del prodotto per adattarsi all'era digitale e una sulle regole di responsabilità dell'IA per proteggere i consumatori e favorire l'innovazione.

Opportunità e incentivi

Le iniziative di condivisione e riutilizzo dei dati sanitari e genetici per la ricerca medica rappresentano una vera opportunità per lo sviluppo della ricerca medica e il miglioramento delle cure per i pazienti. In questo contesto, lo Spazio Europeo dei Dati Sanitari, in futuro, si concentrerà su uno dei suoi obiettivi principali: promuovere il riutilizzo dei dati per la ricerca, l'innovazione e le politiche pubbliche. Diversi progetti europei promuovono questo riutilizzo dei dati a fini di ricerca all'interno di un quadro che rispetta le normative sulla protezione dei dati e preserva i diritti e le libertà degli individui. Tra questi possiamo citare BBMRI-ERIC, il progetto europeo CINECA (Common Infrastructure for National Cohorts in Europe, Canada e Africa) e il Data Analysis and Real World Interrogation Network (DARWIN EU).

Per quanto riguarda il Data Analysis and Real World Interrogation Network (DARWIN EU), questa iniziativa ha l'ambizione di istituire un centro di coordinamento per fornire prove tempestive e affidabili sull'uso, la sicurezza e l'efficacia dei farmaci umani, compresi i vaccini, a partire da basi di dati sanitari reali in tutta l'UE. In particolare, questi dati possono essere utilizzati dall'Agenzia Europea per i Medicinali e dalle autorità nazionali di controllo dei farmaci in qualsiasi momento durante il ciclo di vita di un farmaco. Il progetto DARWIN è direttamente collegato all'istituzione dello Spazio Europeo dei Dati Sanitari, in quanto il progetto DARWIN contribuirà allo sviluppo di questo spazio dei dati. In effetti, i loro obiettivi sono simili, poiché l'iniziativa DARWIN consentirà lo scambio di dati sanitari per l'uso nella fornitura di assistenza sanitaria, nella definizione delle politiche e nella ricerca in Europa, rispettando pienamente i requisiti di protezione dei dati.

Passi pratici

Sulla raccolta, acquisizione e trattamento dei dati personali

Quali sono i principi da rispettare per stabilire una raccolta e un trattamento dei dati leciti? La raccolta e il trattamento dei dati devono soddisfare determinate condizioni per essere considerati leciti. Queste condizioni di liceità si riferiscono sia allo scopo per cui i dati vengono raccolti e trattati, sia al modo in cui i dati vengono raccolti e trattati.

L'Articolo 5 del GDPR stabilisce i principi da rispettare riguardo al trattamento dei dati personali:

I dati devono essere trattati in modo trasparente: ciò implica che gli interessati siano informati del trattamento.
Principio di limitazione delle finalità: la finalità della raccolta deve essere specifica (cioè non deve essere descritta in termini troppo ampi o troppo vaghi), esplicita (chiarezza e precisione delle informazioni fornite in anticipo e preferibilmente per iscritto) e legittima (requisito legale o giustificato dalla ricerca). Questo principio vieta il trattamento dei dati per finalità non compatibili con quelle per cui sono stati originariamente trattati. Nello specifico della ricerca scientifica, il Considerando 33 del GDPR prevede la possibilità di un approccio più flessibile al requisito di specificità, stabilendo che le persone possono dare il loro consenso per alcune aree di ricerca o alcune parti del progetto di ricerca nel rispetto degli standard etici della ricerca scientifica, quando non è possibile identificare pienamente lo scopo del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. In pratica, può trattarsi di un programma di ricerca che comprende diversi progetti di ricerca con lo stesso obiettivo generale.
Il principio di minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità del trattamento.
Il principio di accuratezza: i dati devono essere accurati e aggiornati e, se necessario, corretti.
Il principio di conservazione limitata: i dati identificativi saranno conservati solo per il tempo necessario alle finalità del trattamento. Tuttavia, è possibile superare questo periodo per scopi di ricerca scientifica, a condizione che vengano attuate misure tecniche e organizzative per garantire i diritti e le libertà degli interessati (come la pseudonimizzazione dei dati per ridurre al minimo il rischio di identificazione degli interessati).
Il principio di integrità e riservatezza: Questo principio implica l'attuazione di misure tecniche o organizzative che limitino qualsiasi uso improprio dei dati e ne garantiscano la sicurezza.

Si veda anche la sottovoce "Principali principi".

Chi è responsabile dell'attuazione di questi principi? L'Articolo 5 del GDPR designa il titolare del trattamento come la persona responsabile della conformità a questi principi.

Come identificare il titolare del trattamento? Il titolare del trattamento è l'entità giuridica o la persona fisica che determina le finalità e i mezzi del trattamento dei dati, cioè l'obiettivo e il modo per raggiungerlo. In pratica e in generale, si tratta dell'entità giuridica (ad esempio un istituto di ricerca) rappresentata dal suo rappresentante legale. Possono esserci più titolari del trattamento se più attori sono coinvolti nella determinazione delle finalità e dei mezzi del trattamento. In questo caso, questi diversi attori saranno responsabili congiuntamente del trattamento. European Data Protection Board, Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai seni del GDPR.

Documentazione pratica sulla designazione del titolare del trattamento e del responsabile del trattamento.

Quando devono essere attuati questi principi? Secondo il principio della Privacy by Design and by Default (previsto e descritto nell'Articolo 25 del GDPR), il titolare del trattamento deve implementare misure tecniche e organizzative appropriate (come la pseudonimizzazione) sia quando determina i mezzi del trattamento, sia quando esegue il trattamento stesso, al fine di implementare efficacemente i principi di protezione dei dati (come la minimizzazione dei dati) e garantire che i diritti e le libertà degli interessati siano rispettati. Un meccanismo di certificazione (previsto dall'Articolo 42 del GDPR) può servire come dimostrazione della conformità ai requisiti di questo principio.

Come garantire che il trattamento dei dati effettuato sia lecito? Come definito nell'articolo 5 del GDPR, il trattamento deve essere lecito, cioè ogni trattamento deve essere basato su uno dei fondamenti giuridici stabiliti nell'articolo 6 del GDPR. La base giuridica per il trattamento è la prima condizione per la liceità del trattamento. È vietato trattare dati personali senza una base giuridica.

Quali sono le basi giuridiche sotto il GDPR per il trattamento dei dati personali? L'Articolo 6 del GDPR stabilisce:

consenso: la persona ha acconsentito al trattamento dei propri dati; oppure
contratto: il trattamento è necessario per l'esecuzione o la preparazione di un contratto con l'interessato; oppure
obbligo legale: il trattamento è imposto da disposizioni legali; oppure
compito di interesse pubblico: il trattamento è necessario per l'esecuzione di un compito di interesse pubblico; oppure
interesse legittimo: il trattamento è necessario per il perseguimento degli interessi legittimi del titolare del trattamento o di un terzo, nel pieno rispetto dei diritti e degli interessi delle persone i cui dati sono trattati; oppure
salvaguardia degli interessi vitali: il trattamento è necessario per salvaguardare gli interessi vitali dell'interessato o di un terzo.

Da notare che, quando viene scelta una base giuridica diversa dal consenso, gli interessati devono comunque essere informati del trattamento dei dati e avere il diritto di opporsi ad esso (meccanismo di opt-out).

Chi definisce la base giuridica per il trattamento? La base giuridica deve essere definita dal titolare del trattamento caso per caso, in modo adeguato alla situazione. In conformità con il principio di responsabilità del titolare del trattamento, la scelta della base giuridica dovrebbe essere documentata per attestare la conformità normativa del trattamento dei dati. Inoltre, la base giuridica scelta dovrebbe essere menzionata nelle lettere informative inviate agli interessati del trattamento dei dati. In pratica, per le attività di ricerca, la base giuridica più comunemente scelta è:

l'interesse pubblico (Art.6(1)e) GDPR): utilizzato da organizzazioni pubbliche o private, purché perseguano una missione di interesse pubblico o siano dotate di prerogative di potere pubblico; oppure
l'interesse legittimo (Art.6(1)f) GDPR): comunemente utilizzato da organizzazioni private per trattamenti che non incidono significativamente sui diritti e gli interessi degli interessati; oppure
il consenso (Art.6(1)a) GDPR).

Da notare che il trattamento di categorie particolari di dati (come i dati relativi alla salute o ai dati genetici) deve essere conforme a uno scopo di trattamento previsto dall'Articolo 9 del GDPR (come spiegato di seguito).

Quali sono le regole specifiche applicabili alla raccolta e al trattamento dei dati sanitari e genetici? Come spiegato sopra, il GDPR ha previsto un principio di divieto generale per la raccolta e il trattamento di categorie speciali di dati personali, inclusi i dati sanitari e genetici (Articolo 9(1) GDPR). Tuttavia, ci sono diverse eccezioni a questo principio di divieto. Esse consentono la raccolta e il trattamento dei dati in casi molto limitati, tra cui il consenso dell'interessato, l'interesse pubblico del trattamento e scopi di ricerca scientifica (Articolo 9(2) GDPR).

Quali sono le regole specifiche applicabili al trattamento dei dati sanitari e genetici per scopi di ricerca scientifica? Lo scopo della ricerca scientifica è una delle eccezioni previste dal GDPR (Art.9(2)j) che consente il trattamento dei dati personali sensibili in conformità con disposizioni specifiche: il trattamento deve essere soggetto a garanzie adeguate per i diritti e le libertà degli interessati, come l'adozione di misure tecniche e organizzative, in particolare per garantire la conformità al principio di minimizzazione dei dati (Articolo 89(1) GDPR). In particolare, la tecnica della pseudonimizzazione è esplicitamente menzionata nel GDPR.

Queste misure aggiuntive sono giustificate dal fatto che la raccolta e il trattamento per scopi di ricerca beneficiano di alcune esenzioni che riguardano principalmente i diritti degli interessati (esenzioni al diritto di accesso, al diritto di rettifica, al diritto di limitazione del trattamento, al diritto di opposizione), nella misura in cui tali diritti rendono impossibile o ostacolano seriamente il raggiungimento dello scopo della ricerca (Articolo 89(2) GDPR).

Inoltre, come spiegato in precedenza, è prevista una certa flessibilità nella delimitazione dello scopo della ricerca. Infatti, il considerando 33 del GDPR stabilisce che non è sempre possibile identificare completamente lo scopo del trattamento dei dati personali per scopi di ricerca scientifica al momento della raccolta dei dati. Pertanto, è consentita una comprensione flessibile di tale scopo al momento del consenso degli interessati : gli individui possono dare il loro consenso per determinate aree di ricerca o specifiche parti del progetto di ricerca in conformità agli standard etici della ricerca scientifica. Tuttavia, la descrizione dell’obiettivo della ricerca deve rimanere precisa.

Inoltre, il GDPR prevede l’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per qualsiasi trattamento dei dati considerato a rischio (Articolo 35 GDPR). Poiché i dati genetici e sanitari sono considerati dati speciali a causa della loro sensibilità, il loro trattamento richiede che venga effettuata tale valutazione d’impatto. Questa valutazione garantisce che il trattamento sia conforme al GDPR e rispetti i diritti degli interessati.

Come effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA)?
La DPIA deve essere effettuata prima dell’inizio dell’operazione di trattamento e deve essere riesaminata nel corso dell’operazione di trattamento, in particolare se si verificano cambiamenti rilevanti nel modo in cui i dati vengono trattati. I partecipanti alla realizzazione della DPIA sono il titolare del trattamento, il Responsabile della Protezione dei Dati, eventuali responsabili del trattamento, il personale IT e gli interessati dell’operazione di trattamento. La DPIA è composta da tre parti:

Una descrizione dettagliata del trattamento implementato, inclusi gli aspetti tecnici e operativi del trattamento;
Una valutazione della conformità con i principi fondamentali della protezione dei dati, ossia: un esame della necessità del trattamento e della conformità con il principio di proporzionalità (i dati raccolti e trattati sono strettamente necessari per lo scopo del trattamento), nonché una descrizione delle misure adottate per garantire i diritti degli interessati.
Uno studio tecnico dei rischi per la sicurezza dei dati (confidenzialità, integrità e disponibilità) e il loro potenziale impatto sulla privacy. Questo studio deve essere completato con una descrizione delle misure tecniche e organizzative previste per gestire tali rischi e proteggere i dati.

La CNIL (Autorità di protezione dei dati francese) ha sviluppato uno strumento pedagogico per effettuare questa DPIA, disponibile in inglese.

Per maggiori informazioni: Articolo 29 Data Protection Working Party, Linee guida sulla Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e su come determinare se il trattamento comporta "un rischio elevato" ai fini del Regolamento 2016/679.

Quali sono le regole relative all'informativa agli interessati sul trattamento dei loro dati personali?
Il titolare del trattamento deve fornire informazioni agli interessati riguardo al trattamento previsto, in conformità con il principio di trasparenza. Il GDPR distingue due situazioni a questo proposito:

Quando i dati sono raccolti direttamente dall’interessato (Articolo 13 GDPR),
Quando i dati non sono stati ottenuti dall’interessato (Articolo 14 GDPR).

Queste informazioni devono includere in particolare:

l’identità e i dati di contatto del titolare del trattamento,
le finalità del trattamento e la base giuridica per il trattamento,
i destinatari dei dati personali, se applicabile,
le informazioni sui diritti individuali relativi a questo trattamento dei dati (Articoli 15-20 GDPR) e sulla procedura da seguire per esercitare questi diritti,
l’intenzione, se applicabile, di trasferire i dati a un paese terzo,
se applicabile, l’intenzione di effettuare ulteriori trattamenti dei dati per un altro scopo.

Per una lettura completa dei requisiti relativi all’informativa agli interessati, si rimanda agli articoli 13 o 14 del GDPR, a seconda della situazione applicabile.

Per quanto riguarda la situazione in cui i dati personali utilizzati non siano stati ottenuti dall’interessato, l’articolo 14(5) del GDPR prevede delle eccezioni a questa obbligazione informativa, come nei casi in cui :

l’interessato possiede già queste informazioni,
o la fornitura di tali informazioni richiederebbe sforzi sproporzionati, in particolare nel caso di trattamento dei dati per scopi di ricerca scientifica.

Si rimanda all’Articolo 14(5) del GDPR per vedere tutte le eccezioni previste.

Se tali eccezioni vengono attuate, il titolare del trattamento dovrà documentare e spiegare l’utilizzo di tali eccezioni.

Queste informazioni agli interessati devono essere rinnovate in caso di modifiche sostanziali delle attività di trattamento (ad esempio riguardo alle caratteristiche principali del trattamento, come un nuovo scopo, l'aggiunta di raccolta di dati sensibili, il cambiamento del titolare del trattamento, ecc.) o in caso di un evento specifico legato al trattamento dei dati (ad esempio in caso di violazione dei dati).

È obbligatorio ottenere il consenso dagli interessati prima della raccolta e del trattamento dei loro dati sanitari e genetici?
Il consenso al trattamento dei dati non è sempre richiesto. Dipende dalla base giuridica del trattamento. Se il trattamento si basa sul consenso degli interessati, allora la raccolta del consenso prima dell'implementazione del trattamento è obbligatoria. Questo consenso deve rispettare i requisiti stabiliti dal GDPR, ovvero: libero, specifico (dato per uno o più scopi), informato (informazioni fornite alla persona sul trattamento) e inequivocabile (dato con un atto positivo chiaro senza ambiguità).
Gli interessati possono cambiare idea in qualsiasi momento e ritirare il loro consenso.

Oltre a questi requisiti, nel caso di trattamento di dati sensibili (inclusi i dati sanitari e genetici), si aggiunge il criterio dell'esplicitazione, ossia l’interessato deve dichiarare espressamente il suo consenso (ad esempio per iscritto).

La raccolta del consenso deve essere documentata dai titolari del trattamento, che devono essere in grado di dimostrare che il consenso, in conformità con questi requisiti, è stato ottenuto.

Tuttavia, nel contesto della ricerca scientifica, spesso si preferirà la base giuridica dei scopi di ricerca scientifica (Art.9(2)j e Art.6(1)e o f) GDPR). L’uso di questa base giuridica non richiede il consenso preventivo degli individui per il trattamento dei loro dati. Tuttavia, l’obbligo di informare deve sempre essere rispettato, permettendo agli interessati di opporsi al trattamento (meccanismo di opt-out informato e diritto di opposizione).

Tuttavia, è necessario ricordare che gli Stati membri possono introdurre condizioni aggiuntive, comprese limitazioni, riguardo al trattamento dei dati sanitari e genetici (Articolo 9(4) GDPR). Pertanto, la legislazione nazionale può prevedere che il trattamento di queste categorie di dati richieda il consenso, anche se non richiesto dal GDPR e indipendentemente dalla base giuridica scelta per il trattamento dei dati. Il titolare del trattamento dovrà quindi assicurarsi della conformità con le leggi nazionali in vigore negli Stati membri in cui i dati vengono raccolti e/o trattati.

Cosa deve essere considerato prima di scegliere il consenso come base giuridica per il trattamento dei dati personali?

Prima di scegliere il consenso come base giuridica per il trattamento dei dati personali, è necessario rispettare tutti i requisiti previsti dal GDPR relativi al consenso, che devono essere: liberamente dato, specifico, informato e inequivocabile (Articolo 4 GDPR). Oltre a questi criteri, deve essere rispettata la natura esplicita del consenso (Articolo 9(2)(a) GDPR) nei casi di trattamento di dati personali considerati sensibili (come i dati sanitari e genetici). Inoltre, come sottolineato dal Comitato europeo per la protezione dei dati (EDPB), particolare attenzione deve essere prestata alla condizione del consenso "liberamente dato". Ciò implica che la persona abbia fatto una scelta e abbia un controllo reale sulla stessa. Se esiste un chiaro squilibrio di potere tra il titolare del trattamento e la persona interessata, il consenso non dovrebbe essere una base giuridica valida per il trattamento dei dati personali (Considerando 43 del GDPR). Questi elementi sono particolarmente rilevanti nel contesto della ricerca medica, dove spesso esistono situazioni di squilibrio di potere tra il promotore/ricercatore e i partecipanti alla ricerca (ad esempio, bambini, persone in situazioni di dipendenza istituzionale o gerarchica, categorie economicamente o socialmente svantaggiate, ecc.). Il ricercatore e/o il titolare del trattamento devono tenere conto di tutti questi elementi quando scelgono la base giuridica per il trattamento dei dati che intendono effettuare.

Qual è la differenza tra il consenso per il trattamento dei dati per la ricerca e il consenso per partecipare alla ricerca?

È necessario distinguere tra consenso informato alla ricerca e consenso al trattamento dei dati per la ricerca. Infatti, la partecipazione alla ricerca è regolata dalle leggi nazionali che possono richiedere il consenso informato in determinate condizioni. A livello europeo, l'Articolo 28 del Regolamento UE sulla sperimentazione clinica ricorda la natura obbligatoria del consenso informato per qualsiasi partecipazione a una sperimentazione clinica. Come sottolineato dal Comitato europeo per la protezione dei dati, tali disposizioni rispondono principalmente agli essenziali requisiti etici relativi alla supervisione dei progetti di ricerca che coinvolgono esseri umani, i quali derivano dalla Dichiarazione di Helsinki (Comitato europeo per la protezione dei dati, Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento generale sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati (GDPR) (Articolo 70(1)(b)) Adottata il 23 gennaio 2019). Il consenso informato implica la fornitura di informazioni esaustive, complete e comprensibili sulla ricerca pianificata. A questo proposito, l'Articolo 29 del Regolamento sulla sperimentazione clinica descrive l'elenco degli elementi che devono essere forniti agli individui interessati affinché le informazioni siano valide.

Inoltre, è necessario ricordare che il consenso informato alla ricerca è un requisito etico ai sensi della Convenzione di Oviedo, della Dichiarazione di Taipei e della Dichiarazione di Helsinki.

Pertanto, questo consenso informato alla partecipazione alla ricerca deve essere distinto dal consenso al trattamento dei dati personali previsto dal GDPR, che può essere utilizzato come base giuridica per il trattamento e che deve soddisfare vari criteri (libero, informato, inequivocabile, specifico ed esplicito per il trattamento di dati sensibili come i dati sanitari e genetici). Il Comitato europeo per la protezione dei dati ha ribadito questa distinzione tra il consenso informato sotto il Regolamento sulla sperimentazione clinica e la nozione di consenso come base giuridica per il trattamento dei dati personali sotto il GDPR, nella sua Opinione 3/2019 su domande e risposte sull'interazione tra il Regolamento sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati.

Al di là della situazione per sperimentazione clinica, questo consenso informato è stato descritto dal Comitato europeo per la protezione dei dati come una potenziale "misura di salvaguardia appropriata" (prevista dall'Articolo 89(1) del GDPR) da adottare per tutelare i diritti e le libertà degli individui nel contesto del trattamento dei dati per scopi di ricerca scientifica. Pertanto, anche se la base giuridica scelta è quella della ricerca scientifica e non vi è alcun obbligo legale di ottenere il consenso dai soggetti interessati, un approccio etico lo richiederebbe. Questa posizione è anche sostenuta dal progetto europeo CINECA (Infrastruttura comune per le coorti nazionali in Europa, Canada e Africa).

Ulteriori informazioni sulla differenza tra il consenso informato a partecipare a una sperimentazione clinica e il consenso come base giuridica per il trattamento dei dati personali ai sensi del GDPR: Comitato europeo per la protezione dei dati, Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento generale sulla sperimentazione clinica e il Regolamento generale sulla protezione dei dati, 23 gennaio 2019.

Guida alla politica del consenso: La politica di consenso dell'Alleanza Globale per la Genomica e la Salute (GA4GH) mira a guidare la condivisione internazionale di dati genomici e sanitari in modo da rispettare l'autonomia decisionale e promuovere il bene comune della condivisione internazionale dei dati.

Come garantire la protezione dei diritti degli interessati sul trattamento dei loro dati personali ai sensi del GDPR?

Il GDPR riconosce diversi diritti degli interessati nel trattamento dei loro dati personali. Il titolare del trattamento deve adottare misure appropriate per fornire le informazioni previste dagli Articoli 13 e 14 del GDPR agli interessati, al fine di garantire una gestione trasparente dei loro dati personali. Queste informazioni devono spiegare come esercitare i diritti dell'interessato per garantirne l'efficacia. Le informazioni devono essere concise, trasparenti, comprensibili e facilmente accessibili, in termini semplici e chiari. Inoltre, le informazioni devono essere adattate al pubblico di riferimento, come ad esempio i bambini.

I diritti degli interessati sono elencati nel Capitolo III del GDPR e comprendono:

diritto all'informazione: rispetto del principio di trasparenza (Articoli 13 e 14),
diritto di accesso ai propri dati (Articolo 15),
diritto di rettifica dei dati personali inesatti (Articolo 16),
diritto di cancellazione o, altrimenti, il diritto all'oblio in determinate circostanze (Articolo 17),
diritto di limitare il trattamento in situazioni specifiche (Articolo 18),
diritto alla portabilità dei dati (Articolo 20),
diritto di opposizione: in qualsiasi momento al trattamento dei dati (Articolo 21).

Da notare che il GDPR prevede delle eccezioni a questi diritti per il trattamento dei dati per scopi di ricerca scientifica. In particolare, il diritto all'informazione, il diritto alla cancellazione e il diritto alla portabilità dei dati potrebbero non essere applicabili (se l'esercizio di tali diritti è destinato a rendere impossibile o seriamente compromesso il raggiungimento degli obiettivi della ricerca). Queste eccezioni devono essere giustificate e documentate.

Quali sono le regole da rispettare quando un sistema di intelligenza artificiale è utilizzato nel contesto del trattamento dei dati sanitari?

L'utilizzo di sistemi di intelligenza artificiale nel contesto del trattamento dei dati personali è soggetto alle norme del GDPR, tra cui:

definizione di uno scopo,
rispetto del principio di trasparenza: che si traduce qui nell'informare gli interessati sull'uso dell'intelligenza artificiale nel trattamento dei loro dati personali, ma anche nell'esplicabilità dell'IA, ossia gli individui devono essere in grado di comprendere i risultati e le conclusioni prodotte dall'algoritmo,
Rispetto del principio di minimizzazione dei dati: utilizzare solo i dati necessari per l'addestramento e il funzionamento del sistema di IA in relazione allo scopo del trattamento,
Garantire l'esercizio dei diritti degli individui relativamente al trattamento dei loro dati personali: è importante notare che l'Articolo 22 del GDPR stabilisce che l'interessato di un sistema decisionale basato esclusivamente su un trattamento automatizzato che produce effetti giuridici nei suoi confronti o lo incide significativamente in modo simile ha il diritto di non essere soggetto a tale decisione. Inoltre, i diritti degli individui in relazione alla protezione dei dati personali si applicano durante l'intero ciclo di vita del sistema di IA che utilizza i dati personali degli interessati. L'esercizio di questi diritti riguarda sia i dati contenuti nelle basi di dati utilizzate per addestrare il sistema, che i dati trattati, che comprendono anche i dati prodotti dal sistema. Se l'IA viene utilizzata per scopi di ricerca scientifica, le eccezioni ai diritti individuali previste dal GDPR possono applicarsi, purché siano giustificate e documentate.

Pertanto, il titolare del trattamento deve essere consapevole di tutti questi requisiti che devono essere rispettati (privacy by design, ethics by design). Inoltre, è importante che questi sistemi siano supervisionati e monitorati costantemente, in particolare nel caso dell'apprendimento automatico, a causa della natura altamente evolutiva di questi sistemi. È l'idea di supervisione umana che fa parte delle linee guida della Commissione Europea per un'IA affidabile.

Sul riutilizzo/secondario utilizzo/processamento successivo dei dati personali

È possibile riutilizzare i dati per uno scopo diverso da quello per cui sono stati raccolti? Spesso indicati come "processamento successivo" o "riutilizzo dei dati", queste pratiche consistono nel trattare i dati per uno scopo diverso da quello inizialmente previsto. La ricerca sanitaria oggi si basa in gran parte sul riutilizzo dei dati sanitari.

Il GDPR non affronta esplicitamente questa questione, ma prevede la possibilità di un ulteriore trattamento dei dati per scopi compatibili (Articolo 5(1)(b)). Per verificare se il trattamento previsto è compatibile con gli scopi iniziali del trattamento, il titolare del trattamento deve eseguire un test di compatibilità se il trattamento successivo dei dati non si basa sul consenso dell'interessato o sul diritto dell'UE.

È necessario avere una base giuridica separata per il trattamento successivo dei dati sanitari?
Il considerando 50 del GDPR stabilisce che se gli scopi della raccolta iniziale e del trattamento successivo sono compatibili, non è necessaria una nuova base giuridica separata da quella su cui i dati sono stati raccolti.

Cos'è il test di compatibilità?
Il test consiste in un'analisi caso per caso del contesto di raccolta e trattamento iniziale dei dati per garantire la compatibilità del trattamento successivo, tenendo conto delle legittime aspettative degli interessati.
Per eseguire questo test, il titolare del trattamento deve tenere conto (Articolo 6(4) del GDPR):

se esiste un legame tra gli scopi originali e quelli previsti,
il contesto in cui i dati sono stati raccolti e la relazione tra gli interessati e il titolare del trattamento,
la natura dei dati e in particolare se i dati appartengono alle categorie speciali di dati (inclusi i dati sanitari e genetici),
le possibili conseguenze del trattamento successivo per gli interessati,
e l'esistenza di garanzie appropriate per la salvaguardia dei diritti e delle libertà degli interessati, inclusa, ad esempio, la pseudonimizzazione.

Qual è il quadro per l'ulteriore utilizzo/riutilizzo dei dati per la ricerca scientifica?

Come spiegato in precedenza, la ricerca scientifica oggi dipende fortemente dal riutilizzo dei dati. Pertanto, sono previste disposizioni specifiche per la ricerca scientifica: il trattamento successivo dei dati per scopi di ricerca scientifica non è considerato incompatibile con gli scopi iniziali (presunzione di compatibilità). Cioè, il trattamento sarà considerato a priori compatibile con gli scopi iniziali del trattamento, a condizione che siano adottate garanzie appropriate per i diritti e le libertà degli interessati (attuazione di misure tecniche e organizzative per rispettare il principio di minimizzazione dei dati, inclusa la pseudonimizzazione - Articolo 89(2) del GDPR). Tuttavia, come ricorda il Garante europeo per la protezione dei dati, questa presunzione non costituisce un'autorizzazione generale per l'ulteriore utilizzo dei dati per tutti i casi di scopi di ricerca, ogni caso deve essere considerato in base al proprio contesto.

Gli interessati dovranno essere informati di questo trattamento successivo prima che venga effettuato, a meno che non si applichi una delle eccezioni al diritto all'informazione di cui all'Articolo 14(5)(b) del GDPR.

I diritti degli interessati devono essere garantiti, a meno che non si applichi una delle eccezioni previste dall'Articolo 89(2) del GDPR.

Quali regole specifiche si applicano all'uso secondario dei dati delle sperimentazioni cliniche al di fuori del protocollo della sperimentazione clinica per scopi scientifici?

Il Regolamento sulle sperimentazioni cliniche affronta specificamente questa questione all'Articolo 28(2). Questo articolo si concentra in particolare sul consenso. Le situazioni trattate riguardano i casi in cui lo sponsor desidera trattare i dati di un partecipante alla sperimentazione clinica al di fuori del protocollo previsto, ma esclusivamente per scopi scientifici. Secondo questo articolo, lo sponsor deve richiedere il consenso per questo specifico scopo di trattamento (uso secondario al di fuori del protocollo) dall'interessato o dal suo rappresentante legale al momento in cui viene richiesto il consenso informato per partecipare alla sperimentazione clinica.

Tuttavia, come spiegato in precedenza, il consenso ai sensi dell'Articolo 28(2) del Regolamento sulle sperimentazioni cliniche deve essere distinto dal consenso come base giuridica per il trattamento dei dati personali previsto dal GDPR. Pertanto, lo sponsor o l'investigatore che desidera successivamente utilizzare i dati personali raccolti per scopi scientifici diversi da quelli previsti dal protocollo della sperimentazione clinica, dovrà stabilire una base giuridica che potrebbe non essere il consenso (come inteso nel GDPR). Inoltre, come spiegato sopra, la presunzione di compatibilità prevista dall'Articolo 5(1)(b) del GDPR potrebbe applicarsi, a condizione che siano rispettate le condizioni stabilite nell'Articolo 89 del GDPR (garanzie appropriate per i diritti e le libertà degli interessati).
In ogni caso, si applicano le regole sul trattamento dei dati personali stabilite nel GDPR.

Sul monitoraggio della conformità con il quadro giuridico per la protezione dei dati personali

Chi è responsabile della conformità della raccolta e del trattamento dei dati personali?

Il GDPR è stato concepito secondo una logica di responsabilizzazione degli attori (articoli 5 e 24 del GDPR), cioè, oltre alle procedure messe in atto in ogni paese riguardo l'uso o riuso dei dati sanitari (ad esempio, parere di un comitato etico e scientifico, autorizzazione specifica di un'autorità competente in materia), il titolare del trattamento è obbligato a implementare misure di protezione dei dati, che dovrà aggiornare se necessario, e deve essere in grado di provare la conformità del trattamento dei dati che ha attuato con il quadro normativo applicabile. Questo lavoro di conformità può essere fatto in relazione al responsabile della protezione dei dati (Articolo 37 del GDPR). Un responsabile della protezione dei dati dovrà essere nominato dal titolare e dal responsabile del trattamento quando le attività implementate da quest'ultimo consistono nel trattamento su larga scala di categorie particolari di dati, tra cui i dati sanitari e genetici.

Questa documentazione dovrebbe includere:

Il registro delle attività di trattamento svolte,
Le DPIA delle attività di trattamento che potrebbero comportare rischi elevati per i diritti e le libertà degli interessati,
La supervisione dei trasferimenti di dati effettuati,
Le informazioni fornite agli interessati sull'uso dei loro dati (e, se del caso, una descrizione dei motivi per cui non sono stati informati gli interessati),
I moduli di consenso, se applicabili,
Le misure adottate per garantire i diritti degli interessati,
E i contratti con i subappaltatori, se applicabili.

Cosa deve contenere il registro delle attività di trattamento?

Il titolare del trattamento deve mantenere un registro delle attività di trattamento svolte sotto la propria responsabilità in forma scritta. L'Articolo 30(1) del GDPR dettaglia tutte le informazioni che devono essere incluse nel registro per poter attestare la conformità delle attività di trattamento. Ad esempio, devono essere descritti i dettagli di contatto del titolare del trattamento, dei titolari congiunti e del responsabile della protezione dei dati, se applicabile; gli scopi dell'operazione di trattamento; una descrizione delle categorie di interessati e di dati personali, ecc. In pratica, è il DPO che tiene e aggiorna il registro delle attività di trattamento.

Inoltre, ogni responsabile del trattamento dovrà mantenere un registro delle attività di trattamento effettuate per conto del titolare del trattamento. L'Articolo 30(2) del GDPR dettaglia le informazioni che devono essere incluse.

Le autorità di controllo possono chiedere al DPO, al titolare del trattamento e/o al responsabile del trattamento di rendere disponibile questo registro per certificare la conformità delle attività di trattamento svolte.

Quali sono le regole di sicurezza dei dati personali da rispettare?

L'Articolo 32 del GDPR designa il titolare e il responsabile del trattamento come responsabili dell'implementazione di misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio. Tra queste misure troviamo:

Pseudonimizzazione e crittografia dei dati personali,
I mezzi per garantire la riservatezza dei dati,
I mezzi per ripristinare l'accesso ai dati in caso di incidente fisico o tecnico,
Una procedura per valutare regolarmente l'efficacia delle misure di sicurezza messe in atto per garantire la sicurezza del trattamento.

Per valutare al meglio le misure di sicurezza da mettere in atto, il titolare e il responsabile del trattamento devono tenere conto dei rischi che l'operazione di trattamento comporta per i diritti e le libertà degli interessati, in particolare riguardo alla possibile distruzione, perdita, divulgazione o accesso non autorizzato ai dati personali.

Per dimostrare la conformità a questi requisiti di sicurezza, può essere utilizzato un codice di condotta approvato (Articolo 40 del GDPR) o uno schema di certificazione approvato (Articolo 42 del GDPR) per dimostrare la conformità ai requisiti di sicurezza del GDPR.

I codici di condotta possono essere utilizzati come strumento per i trasferimenti di dati per garantire le garanzie appropriate per i trasferimenti di dati verso paesi terzi o organizzazioni internazionali. Vedi le Linee guida 04/2021 del Garante europeo per la protezione dei dati sui codici di condotta come strumento per i trasferimenti.

Interazione con i regolatori

Interazioni tra il titolare e/o il responsabile del trattamento e un'autorità di regolamentazione

Cooperazione del titolare e del responsabile con l'autorità di controllo (Articolo 31 GDPR). Su richiesta dell'autorità di controllo competente, il titolare e il responsabile del trattamento devono cooperare con tale autorità. In particolare, la documentazione (incluso il registro delle attività di trattamento) che attesta la conformità dei processi di raccolta e trattamento dei dati personali deve essere disponibile su richiesta dell'autorità di controllo.

Consultazione preventiva dell'autorità di controllo da parte del titolare del trattamento in caso di trattamento dei dati personali che presenta un alto rischio. Ricordiamo che, quando il trattamento dei dati previsto coinvolge dati sensibili, il titolare deve effettuare una valutazione d'impatto sulla protezione dei dati prima di trattare i dati (Articolo 35 GDPR). Questa valutazione d'impatto deve quindi essere effettuata nel caso di trattamento di dati sanitari e genetici. Se tale analisi mostra che il trattamento comporterebbe un rischio elevato per i diritti e le libertà degli interessati che il titolare non può mitigare tramite misure appropriate, egli/ella deve consultare l'autorità di controllo prima di implementare il trattamento. Le autorità di controllo nazionali hanno adottato elenchi di trattamenti soggetti a DPIA obbligatoria.

Violazione dei dati personali (Articoli 33 e 34 GDPR). In caso di violazione dei dati personali, il titolare deve notificare l'autorità di controllo competente il prima possibile (se possibile entro 72 ore dalla violazione, se ci sono rischi per i diritti e le libertà delle persone fisiche). Il responsabile del trattamento deve notificare al titolare qualsiasi violazione dei dati personali non appena ne viene a conoscenza. L'Articolo 33 del GDPR dettaglia le informazioni che devono essere incluse nella notifica della violazione. Il titolare deve documentare qualsiasi violazione dei dati personali e le azioni intraprese per affrontarla. Questa documentazione può consentire al titolare di certificare all'autorità di controllo, se necessario, che la procedura di gestione della violazione è stata seguita.
Se la violazione in questione è probabilmente tale da comportare un rischio elevato per i diritti e le libertà di un individuo, il titolare deve comunicare il prima possibile all'interessato, in termini chiari e semplici, la natura della violazione e deve includere le informazioni descritte nell'Articolo 34(2) GDPR. In alcuni casi specifici descritti nell'Articolo 34(3) GDPR, questa comunicazione non è necessaria.

Interazioni tra il Responsabile della Protezione dei Dati e un'autorità di regolamentazione

Interazione tra il Responsabile della Protezione dei Dati e l'autorità di controllo nazionale. In virtù dei compiti conferiti dal GDPR (Articolo 39) al Responsabile della Protezione dei Dati, quest'ultimo deve cooperare con l'autorità di controllo, se necessario (ad esempio, comunicando la documentazione che attesta la conformità delle attività di trattamento dei dati attuate) e deve fungere da punto di contatto per l'autorità di controllo, se necessario (in particolare in caso di consultazione preventiva per un trattamento dei dati che presenti un alto rischio).

Interazioni tra gli interessati e un'autorità di regolamentazione

Reclami degli interessati presso un'autorità di controllo (Articolo 77 GDPR). Ogni interessato ha il diritto di presentare un reclamo presso un'autorità di controllo se ritiene che il trattamento dei dati personali che lo riguardano costituisca una violazione delle norme sulla protezione dei dati. L'autorità di controllo deve informare la persona che ha presentato il reclamo sullo stato e sull'esito del reclamo, compresa la possibilità di rimedio giuridico come previsto dall'Articolo 78 del GDPR.

Diritto a un rimedio giuridico effettivo contro un'autorità di controllo (Articolo 78 GDPR). Ogni persona fisica o giuridica ha il diritto a un rimedio giuridico effettivo qualora l'autorità di controllo non tratti un reclamo o non informi l'interessato entro tre mesi sull'andamento o sull'esito del reclamo presentato.

Diritto a rimedio giuridico contro il titolare del trattamento o il responsabile del trattamento (Articolo 79 GDPR). Ogni interessato ha il diritto a un rimedio giuridico effettivo se ritiene che i suoi diritti ai sensi del GDPR siano stati violati a causa del trattamento dei suoi dati personali.
Questo rimedio può essere richiesto in aggiunta a qualsiasi rimedio amministrativo o extragiudiziale, incluso il diritto di presentare un reclamo presso l'autorità di controllo come previsto dall'Articolo 77 del GDPR. Chiunque abbia subito un danno materiale o non materiale a causa di una violazione delle norme sulla protezione dei dati ha il diritto di ottenere un risarcimento dal titolare del trattamento e dal responsabile del trattamento per il danno subito (Articolo 82 del GDPR).

Legislazione dell’Unione Europea

Carta dei diritti fondamentali dell'Unione europea, GU C 326 del 26.10.2012, p. 391–407

Testo originale

Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014 , sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE Testo rilevante ai fini del SEE, GU L 158 del 27.5.2014, p. 1–76, numero CELEX : 32014R0536

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche (disponibile nelle 24 lingue ufficiali dell'UE)
Sintesi del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE), GU L 119 del 4.5.2016, p. 1–88, numero CELEX : 32016R0679

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche (disponibile nelle 24 lingue ufficiali dell'UE)
Sintesi del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO sullo spazio europeo dei dati sanitari, 3 Maggio 2022, COM/2022/197 final, numero CELEX: 52022PC0197

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO CHE STABILISCE REGOLE ARMONIZZATE SULL'INTELLIGENZA ARTIFICIALE (LEGGE SULL'INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL'UNIONE, 21 Aprile 2021, COM/2021/206 final, numero CELEX: 52021PC0206

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Versione attuale con le ultime modifiche,15 Iuglio 2021

Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati) (Testo rilevante ai fini del SEE), PE/85/2021/REV/1, GU L 152 del 3.6.2022

Testo originale (disponibile nelle 24 lingue ufficiali dell'UE)
Sintesi del documento (disponibile nelle 24 lingue ufficiali dell'UE)

Linee guida dell’Unione Europea

Sui concetti di titolare e responsabile del trattamento nel GDPR

Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR, Comitato europeo per la protezione dei dati (EDPB)

Sulla trasparenza nel GDPR

Linee guida del Gruppo di lavoro Articolo 29 sulla trasparenza ai sensi del Regolamento 2016/679, 11 aprile 2018

Sull'uso secondario dei dati sanitari

Linee guida 03/2020 sul trattamento dei dati relativi alla salute per scopi di ricerca scientifica nel contesto dell'epidemia di COVID-19, Comitato europeo per la protezione dei dati (EDPB), 21 aprile 2020
Documento EDPB sulla risposta alla richiesta della Commissione europea per chiarimenti sull'applicazione coerente del GDPR, con un focus sulla ricerca sanitaria, Comitato europeo per la protezione dei dati (EDPB), 2 febbraio 2021
Prossime linee guida del Comitato europeo per la protezione dei dati (EDPB) focalizzate sulla ricerca sanitaria

Sull'interazione tra il Regolamento sulle sperimentazioni cliniche e il GDPR

Parere 3/2019 relativo alle domande e risposte sull'interazione tra il Regolamento sulle sperimentazioni clinica e il Regolamento generale sulla protezione dei dati, Comitato europeo per la protezione dei dati, 23 gennaio 2019

Sui sistemi di intelligenza artificiale

Orientamenti etici per un'IA affidabile, Commissione europea, 8 aprile 2019
Accordo degli Stati membri dell'UNESCO sull'etica dell'IA, novembre 2021
Approcci "Ethics By Design" e "Ethics of Use" per l'Intelligenza Artificiale, Commissione europea, 25 novembre 2021
Come completare la valutazione etica (self-assessment), Commissione europea, 13 luglio 2021

Sulla valutazione d'impatto sulla protezione dei dati (DPIA)

Linee guida sulla valutazione d'impatto sulla protezione dei dati (DPIA) e sulla determinazione se il trattamento sia "probabile che comporti un alto rischio" ai fini del Regolamento 2016/679, 4 ottobre 2017, wp248rev.01
Documentazione e strumenti riguardanti la DPIA, Commissione Nazionale per la Protezione dei Dati e delle Libertà (CNIL)
Come condurre una valutazione d'impatto sulla protezione dei dati (incluso modello), GDPR EU

Sulla notifica delle violazioni dei dati personali ai sensi del GDPR

Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del GDPR, Comitato europeo per la protezione dei dati, adottato il 10 ottobre 2022

Letterature pertinente (in inglese)

AI, big data, and the future of consent - Andreotta, A.J., Kirkham, N. & Rizzi, M. AI & Society, volume 37, (30/08/2021): 1715-1728
- Scientific abstract
Secondary Use of Personal Health Data: When Is It “Further Processing” Under the GDPR, and What Are the Implications for Data Controllers? - Becker, R., Chokoshvili, D., Comandé, G., Dove, E. S., Hall, A., Mitchell, C., Molnár-Gábor, F., Nicolàs, P., Tervo, S., & Thorogood, A. (2022). European Journal of Health Law, 30(2), (08/2022): 129-157
- Scientific abstract
Applying GDPR Roles and Responsibilities to Scientific Data Sharing - Regina Becker, Adrian Thorogood, Jasper Bovenberg, Colin Mitchell, Alison Hall. International Data Privacy Law, Volume 12, Issue 3, (08/2022); 207-219
- Scientific abstract
The impact of the EU general data protection regulation on scientific research - Chassang Gauthier. ecancer, 11.709 (2017)
- Scientific abstract
Should consent for data processing be privileged in health research? A comparative legal analysis - Edward S Dove, Jiahong Chen. International Data Privacy Law, Volume 10, Issue 2,(05 202); 117-131
- Scientific abstract
Broad consent under the GDPR: an optimistic perspective on a bright future - Hallinan, D. Life Sciences, Society and Policy 16, 1, (2020)
- Scientific abstract
The GDPR and the research exemption: considerations on the necessary safeguards for research biobanks - Staunton, C., Slokenberga, S. & Mascalzoni, D. European Journal of Human Genetics. Volume 27, (2019); 1159-1167
- Scientific abstract

Ulteriori informazioni

World Medical Association, Declaration of Helsinki on Medical Research Involving Human Subjects, 2013
Convention on Human Rights and Biomedicine, "Oviedo Convention" and its Protocols, 4 April 1997
World Medical Association, Declaration of Taipei on ethical considerations regarding health databases and biobanks, October 2016
Guide to GDPR compliance, GDPR.EU
- GDPR.eu is a resource for organizations and individuals researching the General Data Protection Regulation.
European Health Data Space, European Commission
Towards European Health Data Space, On the work of the Joint Action TEHDAS
GDPR and the secondary use of health data, Report from EMA workshop held with the EMA Patients' and Consumers' Working Party and Healthcare Professionals' Working Party on 23 September 2020, EMA/532436/2020, 2 December 2020
Euroopean Data Protection Board (EDPB)-European Data Protection Supervisor (EDPS) Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)
Data Analysis and Real World Interrogation Network (DARWIN EU) initiative
How the General Data Protection Regulation changes the rules for scientific research?, European Parliamentary Research Service (EPRS), Scientific Foresight Unit (STOA) PE 634.447, Study July 2019
Exemple of the CINECA project and the research work done for establishing an ethical lawful basis for international health data sharing and seconday processing for research purposes
Regulatory & Ethics Toolkit - Access and adopt ready-to-use regulatory and ethics guidance for genomic and health-related data sharing, Global Alliance for Genomics and Health (GA4GH)

Ringraziamenti

Pubblicazione: 22/03/2023

Autori:

Lisa Feriol, PhD student, CERPOP UMR1295 (Inserm and University of Toulouse Paul Sabatier), Ekitia (Not-for-profit data sharing organisation)

Gauthier Chassang, Lawyer, CERPOP UMR1295 (Inserm and University of Toulouse Paul Sabatier), Genotoul Societal Platform, Toulouse (GIS Genotoul)

Revisione:

Aurélie Mahalatchimy, Responsabile EuroGCT del Work Package 4, UMR 7318 DICE CERIC, Aix-Marseille Università, CNRS, Aix-en-Provence, Francia

Traduzione:

Victoria Burakova-Lorgnier, Giurista, UMR 7318 DICE CERIC, Aix-Marseille Università, Aix-en-Provence, Francia nell'aprile 2025

Torna in alto

Domande frequenti

Glossario

Seleziona una lingua

Condizione

Tema