Nel corso degli anni si è radicata una lettura della normativa sulla protezione dei dati personali (erroneamente equiparata alla “privacy”) che ingessa la ricerca scientifica. Ci sono spazi per interpretare la legge in modo più corretto e consentire agli scienziati di lavorare più efficacemente per il bene comune.
Crediti immagine: National Cancer Institute/Unsplash
Un'ordinanza del Garante per la protezione dei dati personali dello scorso 15 aprile ha sanzionato un medico ospedaliero che ha utilizzato dati clinici in una relazione presentata a un convegno, senza rispettare le prescrizioni di legge. In particolare, il Garante ha ritenuto che il medico avesse utilizzato i dati del paziente coinvolto senza l’autorizzazione preventiva della ASL (titolare del trattamento) e senza avere raccolto il consenso del paziente, che lo aveva prestato in favore della ASL ma non del singolo medico.
A prescindere dall’autorizzazione della ASL, infatti, l’adempimento sarebbe stato dovuto perché le informazioni relative al paziente utilizzate nella relazione presentata al convegno erano tali da renderlo identificabile anche in assenza delle sue generalità. In concreto, infatti, risulta dall’ordinanza che lo studio conteneva:
le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri effettuati ... e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento (in molti casi è riportato il giorno, il mese e l’anno degli stessi), l’unità di chirurgia che ha effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche (14), nonché 22 fotografie che ritraggono l’interessato durante gli interventi chirurgici.
Questa ordinanza è l’occasione per tornare a parlare di temi molto delicati che hanno implicazioni dirette sulla ricerca medica: la necessità e l’estensione del consenso al trattamento dei dati personali rilasciato dal paziente, e la possibilità di utilizzare questi dati per finalità di ricerca, anche in ambiti non collegati all’originario consenso del paziente.
La rigidità interpretativa del GDPR
Nel caso specifico, sono sostanzialmente corretti i rilievi del Garante sulla necessità di avere l’autorizzazione della ASL per usare i dati clinici del paziente e sulla necessità di informare il paziente che la sua cartella clinica sarebbe stata usata anche per ricerche individuali. Analogamente, e in linea di principio, è altrettanto corretta la lettura del GDPR compiuta dall’Autorità in ordine all’obbligo di astenersi dal trattare dati sovrabbondanti rispetto alle finalità perseguite —nel caso di specie, quelle di ricerca medica — che consentono di identificare il paziente.
Il problema, però, è proprio capire quali sono le finalità coinvolte nella ricerca e se il loro perseguimento prevalga sui diritti dell’interessato. Ecco perché, è meno condivisibile la rigidità del Garante sul divieto che l’identità del paziente venga ricostruita tramite dati riportati in una pubblicazione scientifica, anche se ne sono omesse le generalità.
In altri termini: la riservatezza individuale può prevalere sul dovere del ricercatore di rendere intersoggettivamente verificabile il risultato che ha raggiunto? E il potere del paziente di negare il consenso al trattamento dei dati personali può impedire la ricerca di nuovi sistemi di diagnosi e cura?
L’importanza della verificabilità delle ricerche
È chiaro che in molti casi è possibile, per i medici che hanno accesso diretto alle cartelle cliniche, pubblicare degli studi senza fornire alcun elemento di identificazione indiretta del paziente. Ci sono altri casi, come quelli delle malattie rare, nei quali questo obiettivo è meno facile o impossibile da raggiungere. Di conseguenza, per quanto sia difficile stabilire una regola generale, spetterebbe alle società scientifiche fornire indicazioni concrete in questo senso, piuttosto che lasciare al singolo medico la responsabilità di prendere determinate decisioni.
A prescindere da questa considerazione, è necessario ricordare che pure in medicina vale il paradigma epistemologico della verificabilità intersoggettiva dei predicati. Dunque, quando un medico presenta una ricerca, deve mettere la comunità scientifica in condizione di verificare in modo indipendente le conclusioni dichiarate. A tacer d’altro questo procedimento è essenziale per evitare casi (o sospetti) di frode scientifica o l’assunzione di scelte individuali e di politica pubblica basate su errori compiuti in buona fede dai ricercatori.
Proprio il GDPR ha un ruolo fondamentale perché non si occupa solo di “privacy” ma di attendibilità e affidabilità del trattamento dei dati personali rispetto alla finalità da perseguire. Dunque, sia nelle ricerche di punta, sia in quelle eseguite in ambiti più ristretti i medici hanno un obbligo giuridico di trattare tutti quei dati che servono per ottenere risultati affidabili.
Tornando al punto, quindi, nel caso specifico si può anche discutere se fosse effettivamente necessario includere tutti i dati concretamente inclusi nella ricerca sanzionata dal Garante e riportati in apertura di questo articolo. Ma in termini generali è evidente che a tutela della salute pubblica tutti i dati che servono per corroborare i risultati di uno studio possono e devono poter essere trattati anche senza il consenso dell’interessato e fermo il suo diritto a essere informato.
Una soluzione possibile
Non è vero che il Regolamento sulla protezione dei dati personali (GDPR) vieti in senso assoluto una lettura meno radicale di quella veicolata dalla narrativa corrente. Il GDPR consente di essere interpretato in modo più flessibile quando in gioco ci sono le necessità della ricerca scientifica e di quella medica in particolare. Ci sono spazi per consentire ricerche basate sull’utilizzo di dati, specie di quelli anonimizzati, senza dover chiedere o chiedere ogni volta il consenso ai pazienti.
Ci sono modi per consentire, specie alla ricerca che non ha bisogno di sperimentare in corpore vivo, un impiego più fluido dei dati senza ingessare il lavoro degli scienziati. Per esempio, in ambito clinico si potrebbe già prevedere l’anonimizzazione delle cartelle cliniche elettroniche, in modo che i dati possano essere condivisi con gruppi di ricerca anche esterni senza bisogno di ulteriori passaggi burocratici. Analogamente, nella ricerca osservazionale i questionari somministrati ai pazienti potrebbero già essere strutturati in “doppio formato”, prevedendone uno anonimizzato per finalità di ricerca e uno con l’identificazione del paziente che rimane sotto il controllo della struttura sanitaria per consentire il riscontro della correttezza dei dati raccolti in caso di contestazioni di frode scientifica o di necessità di revisione dei risultati.
Per raggiungere questo obiettivo è necessario che l’Autorità garante per la protezione personale faccia quello che da più parti si è chiesto ai cittadini durante la pandemia: fidarsi della scienza e degli scienziati. Questo significa, innanzi tutto, applicare concretamente il principio contenuto nel GDPR secondo il quale la protezione dei dati personali non è un diritto assoluto. In secondo luogo, è urgente che l’Autorità abbandoni un approccio basato sul divieto aprioristico di trattare determinati dati e sull’imposizione di fardelli burocratici preventivi in nome di un non giustificato principio di precauzione. Specie se le ricerche sono eseguite con dati anonimizzati, il consenso del paziente non può essere necessario né obbligatorio.
Certo, ci sono dei casi nei quali anche la ricostruibilità indiretta dell’identità del paziente potrebbe creargli problemi (per esempio, se la ricerca riguarda malattie che portano con sé uno stigma sociale). In questo caso sarebbe ipotizzabile che i dati in questione siano affidati a una terza parte fidata e resi disponibili solo ad altri scienziati e solo per replicare gli esperimenti. Dovrebbe rimanere ferma, in ogni caso, la possibilità di trattare tutti i dati necessari alla ricerca con la maggiore flessibilità qui evidenziata.
Infine, gli scienziati dovrebbero essere lasciati liberi di condurre le loro ricerche, salvi controlli ex post da parte delle autorità competenti. Sarebbe più efficiente applicare il metodo praticato dal presidente USA Ronald Reagan ai tempi della Guerra Fredda: “fidati ma controlla”. Nello stesso tempo, tuttavia, chi fa ricerca dovrebbe essere estremamente consapevole della necessità di non abusare della maggiore libertà che deriva dal ruolo pubblico attribuito dal GDPR all’attività scientifica. Applicare in modo più flessibile la norma non può diventare un modo per evitare di rispettarla nella sostanza, prima ancora che nella forma.
La legge deve servire ai cittadini e non viceversa. Dunque le prescrizioni normative dovrebbero essere sempre interpretate nel modo che garantisce il miglioramento della qualità della vita delle persone. La possibilità di fare ricerche su (grandi quantità di) dati è una risorsa essenziale per la scienza e per la medicina. Il GDPR può essere facilmente interpretato nel senso di consentire queste ricerche senza dover bloccare o appesantire il lavoro degli scienziati. È importante che le istituzioni si rendano conto della necessità di cambiare atteggiamento rispetto a interpretazioni della “privacy” che da strumento flessibile per la tutela dei diritti individuali la trasformano in un totem minaccioso, dal quale tenersi lontano. Ed è altrettanto importante che la comunità scientifica prenda finalmente coscienza della necessità di contribuire a questo cambio culturale.