>  GDPR Compliance   >  Modifiche agli artt 2-sexies e 110 del Codice Privacy

Modifiche agli artt 2-sexies e 110 del Codice Privacy

A cura dell’Avv Chiara Parasiliti

 

ricercatore, microscopio, uomo, Foto di Chokniti Khongchum – Pexels

Il Codice Privacy italiano è stato modificato dall’art 44 del decreto legge 2 marzo 2024 n. 19, convertito con modificazioni dalla legge n. 56/2024.

Le modifiche riguardano:

  • l’articolo 2 sexies Trattamento dei Dati Personali per Interesse Pubblico
  • l’articolo 110 del Codice Privacy Trattamento dei Dati Sanitari per Ricerca

In questo articolo cercheremo di spiegare le modifiche intervenute.

Articolo 2 sexies: Trattamento dei Dati Personali per Interesse Pubblico

L’articolo 2 sexies del Codice Privacy risulta così modificato:

a) il comma 1-bis è sostituito dal seguente:

«1-bis. I dati personali relativi alla salute, pseudonimizzati, sono trattati, anche mediante interconnessione, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, secondo le modalità individuate con decreto del Ministro della salute, adottato ai sensi del comma 1 previo parere del Garante per la protezione dei dati personali.»;

b) dopo il comma 1-bis è aggiunto il seguente:

«1-ter. Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonomizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall’Agenzia per l’Italia digitale in materia di interoperabilità, definiscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all’interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 1.».

La recente modifica introduce la pseudoanonimizzazione come strumento per utilizzare i dati ed affida al Ministero della salute il potere di adottare decreti.

Articolo 110: Trattamento dei Dati Sanitari per Ricerca

L’articolo 110 del Codice Privacy risulta così modificato:

1-bis. All’articolo 110, comma 1, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, le parole: “e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento” sono sostituite dalle seguenti: “. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice“.

In sintesi, con la modifica non è più necessario consultare preventivamente il Garante, ma rispettare le disposizioni dell’art 106 Codice privacy e le garanzie individuate dal Garante.

A tale ultimo riguardo si rappresenta che, con Provvedimento del 9.05.2024 (https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10016146), il Garante ha individuato le garanzie da applicare, ai sensi dell’art. 110 del Codice, nei seguenti termini:

“… Nelle more dell’approvazione delle nuove Regole deontologiche e ferma la vigenza di quelle di cui all’allegato A5 del Codice, il Garante ai sensi dell’art. 110 del Codice individua le seguenti garanzie, necessarie per i trattamenti di dati sulla salute per finalità di ricerca medica, biomedica e epidemiologica, riferiti a soggetti deceduti o non contattabili per i seguenti motivi etici o organizzativi.

Sono motivi etici quelli riconducibili alla circostanza che l’interessato ignora la propria condizione. Rientrano in questa categoria le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi.

Sono motivi di impossibilità organizzativa quelli riconducibili alla circostanza che la mancata raccolta dei dati riferiti al numero di interessati che non è possibile contattare, rispetto al numero complessivo dei soggetti che si intende arruolare nella ricerca, produrrebbe conseguenze significative per lo studio in termini di qualità dei risultati della ricerca stessa; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti.

I motivi di impossibilità organizzativa concernono sia quelli derivanti dalla circostanza, da considerarsi del tutto residuale, che contattare gli interessati implicherebbe uno sforzo sproporzionato vista la particolare elevata numerosità del campione, sia quelli derivanti dalla circostanza, alternativa alla precedente, che all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto pubblicamente accessibili) essi risultino al momento dell’arruolamento nello studio, deceduti o non contattabili.

In tali casi, il titolare del trattamento oltre ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e acquisire il parere favorevole del competente comitato etico a livello territoriale sul progetto di ricerca come previsto dall’art. 110 del Codice deve accuratamente motivare e documentare, nel progetto di ricerca, la sussistenza delle ragioni etiche o organizzative per le quali informare gli interessati e quindi acquisire il consenso, risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, se del caso documentando altresì i ragionevoli sforzi profusi per tentare di contattarli.

Nei predetti casi, i titolari del trattamento di dati sulla salute per finalità di ricerca medica, biomedica e epidemiologica riferiti a soggetti deceduti o non contattabili devono altresì svolgere e pubblicare la valutazione di impatto, ai sensi dell’art. 35 del Regolamento, dandone comunicazione al Garante”.

Implicazioni per la Ricerca

Queste modifiche normative hanno importanti implicazioni per la ricerca.

L’ampliamento delle possibilità di trattamento dei dati sanitari potrebbe facilitare la ricerca medica e epidemiologica.

In conclusione, le recenti modifiche al Codice Privacy rappresentano un passo importante verso l’adattamento della normativa sulla privacy alle esigenze contemporanee di ricerca e interesse pubblico.

E’ importante notare, tuttavia, che il trattamento deve essere effettuato sempre nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, così come previsto dal GDPR.

 

Fonte:  Garante privacy 

Disclaimer

Non puoi copiare il contenuto di questa pagina