RELAZIONE FINALE

Dal Tavolo Salute di “State of Privacy”, sono emerse le seguenti 3 sfide e 3 azioni correlate:

SFIDA 1 – Si pone l’obiettivo strategico di valorizzazione secondaria dei dati sanitari, mediante loro anonimizzazione, al fine di abilitare altre attività di ricerca scientifica e innovazione in ambiti differenti da quello medico, biomedico ed epidemiologico (es. per ricerca e sviluppo di IA).

AZIONE 1 – Si auspica l’emanazione, da parte del Garante, di un provvedimento generale ex art. 110-bis comma 3 del Codice Privacy, nel quale si fissino i requisiti e le migliori pratiche per l’anonimizzazione dei dati sanitari, e la conseguente valorizzazione dei dati così trasformati. Tale intervento sarebbe in linea con il Data Governance Act e con il Regolamento sullo Spazio Europeo dei Dati Sanitari proposti dalla Commissione Europea.

SFIDA 2 – In Italia, per trattare, senza il consenso dell’interessato, i dati sulla salute in progetti di ricerca scientifica in ambito medico, biomedico ed epidemiologico (ove non previsti espressamente dalla legge) è obbligatorio passare da una consultazione dell’Autorità, cioè da una sua autorizzazione speciale. Si tratta di un sistema più restrittivo della media europea e non realisticamente sostenibile, se si pensa che si stimano in decine di migliaia gli studi retrospettivi condotti, in Italia, ogni anno. Anche la recente interpretazione del Garante, relativa ai cosiddetti “consensi a fasi progressive”, potrebbe essere rivista con maggiore apertura, riconoscendo la validità di un consenso più ampio (cd. “broad consent”) per taluni settori della ricerca scientifica – non per singoli progetti – laddove si rispettino le norme deontologiche per la ricerca scientifica (Considerando 33 GDPR).

AZIONE 2 – Si suggerisce di proporre al legislatore l’emendamento dell’art. 110 del Codice Privacy, riportandolo a una formulazione più simile a quella ante-2018 e rendendolo già compatibile alla ventura disciplina dello European Health Data Space Act. Inoltre, si suggerisce al Garante di riconoscere la validità del “broad consent” dell’interessato, per trattamenti di dati in successivi progetti rientranti in interi settori di ricerca in ambito medico, biomedico ed epidemiologico (in armonia con il Cons. 33 GDPR): questa apertura potrebbe essere bilanciata e condizionata da stringenti misure di garanzia, prescritte dall’Autorità in un provvedimento ex art. 2-septies del Codice.

SFIDA 3 – Serve più certezza del diritto della privacy per le aziende sanitarie e i loro partner tecnologici, per assicurare l’efficiente ed efficace realizzazione di progetti di sanità innovativa (telemedicina, FSE 2.0, sistemi informativi integrati tra strutture e professionisti, reti territoriali, ecc.), in ottica di conseguimento degli obiettivi PNRR.

AZIONE 3 – Si propone il superamento dello strumento delle linee guida “di mero principio” e di livello solo europeo (tipicamente provenienti dal Comitato Europeo per la Protezione dei Dati), sia per la loro genericità sia perché l’ambito sanitario risente di specificità normative nazionali. A tal fine, si suggeriscono la redazione e il rilascio da parte del Garante italiano, sentiti i principali stakeholder, di “Schemi Pratici Standard” contenenti modelli di casi d’uso con istruzioni legali, tecniche, organizzative concrete e facilmente replicabili. Questi “Schemi Pratici Standard” sarebbero adottabili dalle aziende sanitarie e dai loro partner/fornitori, in progetti analoghi da realizzare sul territorio nazionale.