“La sottoscrizione da parte di FISM, di concerto con altre Società scientifiche, di un documento di consenso, finalizzato a proporre la modifica della disciplina nazionale in materia di protezione dati personali, in particolare dell’art. 110 del Codice Privacy (D.Lgs n. 196/2003 e s.m.i.), può registrare un primo successo. L’esortazione ad abbracciare le linee di indirizzo tracciate dal legislatore europeo, rinvenibili nello stesso GDPR, Data Governance Act, (prossimo) IA Act e, in aggiunta, nell’iniziativa promossa dalla Commissione sull’European Helth Data Space., ha trovato riscontro il 18 aprile scorso. La Camera dei Deputati ha approvato il disegno di legge n. 1110 di conversione, con modificazioni, del decreto 2 marzo 2024, n. 19, recante “ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (Pnrr)” (di seguito anche “Decreto PNRR” e “Legge di Conversione”), ponendo la fiducia. Il disegno di legge in questione è stato, poi, approvato in Senato della Repubblica, sempre mediante il ricorso all’istituto della fiducia, nell’aprile u.s., ed è ora attesa la pubblicazione in Gazzetta Ufficiale.
Viene rafforzato il ruolo attribuito al Ministero della Salute per l’interconnessione di tutti i sistemi informativi impiegati su base individuale, ed estese le ipotesi di trattamento sulle categorie particolari di dati (ex dati sensibili) per motivi di interesse pubblico.
Buone notizie anche per gli studi retrospettivi, non sarà più necessaria la consultazione preventiva (art. 36, GDPR), dell’Autorità Garante per la protezione dei dati personali, sarà sufficiente l’approvazione dei Comitati Etici e l’adozione di misure appropriate a garanzia della privacy, tra le quali, l’adesione alle regole deontologiche, consentendo quindi un maggiore margine di «autonomia» per la ricerca scientifica, pur sempre nel rispetto dei dettami della disciplina specifica.
Le Società Scientifiche federate riceveranno presto un documento di approfondimento.”
Le modifiche al Codice Privacy apportate dalla Legge di conversione del Decreto PNRR
Per quanto qui di interesse rilevano due principali modifiche che la Legge di Conversione apporta al Decreto e, a cascata, agli articoli 2-sexies e 110 del d.lgs. n. 196/2003, recante il c.d. Codice Privacy. Ecco le modifiche apportate:
Articolo 2-sexies
Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
[…]
1-bis. I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, pseudonimizzati, sono trattati, anche mediante interconnessione, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall’Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP), nonché, relativamente ai propri assistiti, dalle Regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fasciolo Sanitario Elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, con decreto del Ministro della salute, adottato ai sensi del comma 1, previo parere del Garante per la protezione dei dati personali, nel rispetto di quanto previsto dal Regolamento, dal presente codice, dal codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e dalle linee guida dell’Agenzia per l’Italia digitale in materia di interoperabilità.
1-ter. Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonimizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall’Agenzia per l’Italia digitale in materia di interoperabilità, definiscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all’interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 1.
Articolo 110
Ricerca medica, biomedica ed epidemiologica
1. Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9872621