Con l’articolo in uscita oggi su Science, due scienziati e studiosi italiani del Dipartimento di Oncologia Sperimentale dell’Istituto Europeo di Oncologia e del Dipartimento di Oncologia ed Ematoncologia dell’Università degli studi di Milano, Giuseppe Testa e Luca Marelli, forniscono un importante contributo al dibattito sull’impatto sulla ricerca scientifica e sulla nostra vita del nuovo regolamento europeo sulla protezione dei dati personali, noto come “General Data Protection Regulation” (GDPR), che entrerà in vigore il 25 maggio prossimo.
Obiettivo del GDPR è armonizzare la legislazione in merito alla protezione dei dati personali all’interno dell’Unione Europea con il doppio intento di aumentare la tutela e il potere di controllo dei cittadini circa i propri dati personali da un lato, e di massimizzarne la circolazione dall’altro. Il regolamento affronta quindi un tema fondamentale, se si pensa a come la digitalizzazione attraversa oggi ogni aspetto della nostra vita quotidiana, a partire dal nostro bene più prezioso, la salute. I dati del nostro DNA sono la base per le terapie più innovative e sono il nutrimento della medicina personalizzata e di tutta la ricerca biomedica attuale. Cosa succederà alla ricerca scientifica a seguito della GDPR è dunque una domanda che ci riguarda tutti da vicino.
“Ogni progetto di ricerca genera dati personali in formato riutilizzabile – spiega Giuseppe Testa, professore di Biologia molecolare alla Statale e Direttore del Laboratorio di Epigenetica delle cellule staminali in IEO – Dati acquisiti per un determinato studio, essendo in formato digitale, possono essere riutilizzati per un altro studio con finalità diverse. Ma se abbiamo giustamente sempre chiesto il consenso informato all’utilizzo delle informazioni personali, nel momento in cui ci si apre alla circolazione in contesti diversi cosa dobbiamo fare? O richiediamo ogni volta il consenso alla persona, o chiediamo un “consenso allargato” per l’uso dei dati in ricerca da parte della stessa istituzione. Ma ora si pone un altro problema: che cosa succede se il dato passa di mano, ed entra in possesso di un’altra istituzione, con magari un profilo istituzionale diverso da quella che ha raccolto i dati?”
È il caso della biobanca genomica Shardna, che ha collezionato migliaia di dati genetici, sanitari e genealogici di cittadini sardi per fare ricerca sulle loro malattie. La biobanca è stata rilevata dalla biotech inglese Tiziana Life Sciences, ma il Garante della privacy italiano ha bloccato le operazioni di trattamento dei dati, sostenendo che se cambia il titolare del trattamento, il nuovo titolare deve ricontattare tutte le persone a cui i dati appartengono, onde richiederne il consenso. Il Tribunale di Cagliari ha invece, in una sentenza di primo grado per la quale è previsto il ricorso in appello, ribaltato questa posizione riconoscendo a Tiziana Life Sciences la possibilità di utilizzare il database senza bisogno di acquisire un nuovo consenso.
Come osservato dall’articolo di Marelli e Testa, la questione dell’uso e del riutilizzo dei dati personali per fini di ricerca scientifica viene affrontata dal nuovo regolamento europeo in modo ambivalente. Da un lato, il GDPR introduce tutta una serie di facilitazioni e deroghe per il trattamento di dati personali per scopi di ricerca scientifica, fornendo un’interpretazione molto ampia di cosa costituisca “ricerca scientifica”, fino a comprendere la ricerca svolta con fondi privati e per finalità non necessariamente volte al perseguimento del pubblico interesse. Dall’altro lato, il GDPR pone le basi per la promozione degli interessi e delle istanze dei pazienti e dei partecipanti alla ricerca, richiedendo, prima di poter riutilizzare dati personali, di condurre un’analisi del rapporto fra l’ente che cede il dato e quello che lo acquisisce, verificando che gli obiettivi e i valori delle due istituzioni siano compatibili.
A tal fine, il GDPR pone inoltre grande importanza al ruolo svolto dagli organismi regolatori della ricerca biomedica, quali i comitati etici e le istituzioni scientifiche impegnate nella creazione di specifici codici di condotta, oltre a promuovere una grande responsabilizzazione collettiva circa la tutela e la circolazione dei dati personali.
“Tuttavia – conclude Testa– il potenziale di “maluso” di questa responsabilità non sfugge a nessuno. Il GDPR rappresenta uno strumento duttile per sviluppare la ricerca scientifica, ma potenzialmente pericoloso da maneggiare. Inoltre, il nuovo regolamento ci imporrà un’utile riflessione sulla ricerca scientifica, i cui confini oggi sono fluidi. Molte società dichiarano di fare ricerca, ma che cosa intendiamo per ricerca e dove mettiamo un limite alla sua libertà?”
Il lavoro è stato finanziato dal Progetto Epigen del CNR.