Privacy, Stefanelli: dal regolamento Ue garanzie per tutti e possibile slancio alla ricerca

Il Regolamento europeo sulla privacy 2016/679, correttamente interpretato, può dare uno slancio alla ricerca in Italia. In particolare, i dati sanitari contenuti negli archivi degli enti del servizio sanitario a seguito del trattamento di diagnosi e cura dei pazienti, sono fondamentali per le ricerche di Real World Evidence condotte su farmaci e dispositivi medici su ampie fasce di popolazione. Specie in anni di boom dell'utilizzo di strumenti informatici e di supporti di telemedicina, come il 2020, l'Italia oggi ravvisa l'importanza di quelle ricerche. Ma la normativa è adeguata? Nel nostro paese, «il tema dei dati è generalmente trattato in due modi opposti, o con superficialità o anteponendo il nodo della privacy. L'approccio corretto è intermedio e passa per la conoscenza approfondita del Regolamento Ue che consente di fare più cose rispetto al passato», spiega l'avvocato Silvia Stefanelli cassazionista esperta di diritto sanitario intervistata per Doctor33.

Peraltro, la normativa di Bruxelles è differente dalle norme che siamo abituati a conoscere, non dà un elenco di precetti come il Codice della Privacy italiano del 2003, ma lascia una sorta di "libero arbitrio" all'utilizzatore dei dati, puntando sulla sua accountability: è lui a scegliere i tipi di trattamenti in relazione agli obiettivi e gli strumenti per perseguirli. A questo punto, in campo sanitario, si aprono opportunità, ma si configurano ambiti di responsabilità da saper prevedere. «I dati sanitari per il regolamento sono utilizzabili non solo per diagnosi, cura, riabilitazione, ma per tre funzioni di rilievo sociale massimo: migliorare l'organizzazione pubblica per pianificare meglio anche in relazione dell'ottimizzazione delle tipologie di trattamento ai malati; migliorare i prodotti sanitari, farmaci e dispositivi medici in primis; fare ricerca scientifica. L'articolo 25 - spiega l'avv. Stefanelli - prevede espressamente il secondary use di questi dati ma il trattamento non va inteso "in automatico", va preceduto da una valutazione di compatibilità rispetto ai tre obiettivi citati, in relazione ai quali va identificata una base giuridica corretta. Che può essere il consenso rilasciato dall'utente debitamente informato sui motivi e gli scopi della sua inclusione nel trattamento, ma può anche risiedere in altre precauzioni. Poi c'è la ricerca, terreno su cui il regolamento allarga le maglie rispetto al passato ma consente anche agli stati membri di introdurre limitazioni, identificabili in Italia negli articoli 107-110 e 110 bis del Codice della Privacy. In realtà, rispetto al passato si possono fare più cose, ma per ogni utilizzo di dati va identificata una base giuridica».
Stefanelli aggiunge che il regolamento europeo necessita di un criterio di lettura diverso rispetto al diritto positivo in auge nel nostro paese, non è un insieme di regole precettive ma il prodotto di civiltà giuridiche in prevalenza nordeuropee dove si lascia ampio spazio all'analisi del rischio nei contesti reali (e alle relative responsabilità) e alle valutazioni personali delle misure di gestione del dato. Per Stefanelli, l'approccio europeo può far uscire l'Italia dalla cultura secondo cui la privacy è un totem ovvero un inutile ostacolo, e proiettarci in un contesto diverso dove anche il dato più sensibile acquista un valore sociale (ed economico) e dove il quadro giuridico è complessivamente favorevole ad un suo utilizzo, previa la comprensione di quali norme di dettaglio da inserire per rendere evitabili comportamenti illeciti propri e altrui.