L’altruismo dei dati è introdotto dal Data Governance Act per favorire la condivisione volontaria dei dati personali. Tuttavia, ritardi burocratici e procedure complesse stanno rallentando la nascita di organizzazioni dedicate, impedendo di sfruttarne appieno il potenziale per la ricerca scientifica.
L’altruismo dei dati è un istituto disciplinato dal Regolamento (UE) 868/2022, il Data Governance Act o DGA, passato finora pressoché inosservato, nonostante il DGA sia ormai applicabile dal 24 settembre 2023.
L’indifferenza generale verso questa novità normativa dipende in parte da due circostanze:
- la Commissione UE non ha ancora varato, in materia, importanti atti esecutivi ad essa delegati,
- in molti Stati membri dell’Unione Europea (fra cui l’Italia) la registrazione delle organizzazioni per l’altruismo dei dati non è ancora materialmente possibile.
In altra parte, la sordina dipende dal fatto che – come vedremo – il sistema messo a punto per facilitare la donazione o la condivisione dei dati per scopi altruistici è burocratizzato e oneroso.
Cos’è l’altruismo dei dati e perché tarda a decollare
L’altruismo dei dati rappresenta un’apertura normativa dell’Unione Europea verso iniziative organizzate volte a facilitare la condivisione con terzi di dati (personali o non personali) per scopi qualificabili come “altruistici”.
Definizione europea e ambiti dell’altruismo dei dati
Secondo l’art. 2, lettera 16) del DGA, l’altruismo dei dati è «la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l’uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l’agevolazione dell’elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l’elaborazione delle politiche pubbliche o la ricerca scientifica nell’interesse generale». Da questa definizione emerge la portata ampia dell’altruismo dei dati, la sua attitudine ad essere applicato in ambiti vari, diversi fra loro.
Ricerca sanitaria europea e altruismo dei dati: le criticità
In queste prime riflessioni sull’istituto, scegliamo di concentrarci su un suo possibile uso per facilitare la ricerca scientifica in ambito sanitario.
Attualmente, quest’ultimo sofferente nell’Unione Europea anche a causa dell’interpretazione resa dall’EDPB e da molte Autorità dei concetti di “anonimizzazione” (secondo cui questa sussiste solo quando risalire all’identità degli interessati diventa, grazie a un mix di metodologie, sostanzialmente impossibile) e di “finalità di ricerca” (interpretata come l’equivalente di singolo progetto di ricerca, con la conseguenza che la base giuridica, di solito il consenso, può legittimare un trattamento di dati personali solo per uno specifico progetto di ricerca).
Una luce in fondo al tunnel viene dall’approvazione dell’EHDS o Regolamento sullo Spazio Europeo dei dati sanitari, che detta norme comuni in tema di uso secondario di dati sanitari a fini di ricerca.
Purtroppo, l’EHDS avrà tempistiche di applicazione molto diluite. Per avvalersi delle norme sull’uso secondario dei dati sanitari, gli enti che fanno ricerca dovranno attendere il 2029. Invece, per la competitività europea il tempo stringe, ed è bene esplorare qualsiasi soluzione legale spendibile in base al diritto europeo che possa agevolare il trattamento di dati personali a fini di ricerca scientifica (specialmente in ambito medico, biomedico ed epidemiologico).
Big data e intelligenza artificiale: opportunità dell’altruismo dei dati
Le opportunità di uso secondario dei dati sanitari aumentano continuamente grazie all’intelligenza artificiale. Per esempio, nella ricerca e nello sviluppo di farmaci, la combinazione di intelligenza artificiale e big data accelera l’identificazione di nuovi principi attivi e rende gli studi clinici più efficienti. Una delle funzioni che il DGA assegna all’altruismo dei dati è proprio quello di «contribuire allo sviluppo di pool di dati che abbiano dimensioni sufficienti da consentire l’analisi dei dati e l’apprendimento automatico» (considerando 45).
Secondo il DGA, gli Stati membri dovrebbero agevolare l’altruismo dei dati mediante apposite politiche nazionali, volte fra l’altro a facilitare la messa a disposizione degli interessati di strumenti di facile utilizzo per dare il consenso, l’organizzazione di campagne di sensibilizzazione o uno scambio strutturato tra le autorità competenti sui benefici dell’altruismo dei dati per le politiche pubbliche, anche per la salute pubblica.
Le regole europee: registrazione e conflitto con il GDPR
Al comma 1, lettera c) dell’art. 1, il DGA afferma di volere stabilire «un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici». Il successivo comma 3 del medesimo articolo ci ricorda che in caso di conflitto tra il DGA e il diritto dell’Unione in materia di protezione dei dati personali o il diritto nazionale adottato conformemente a tale diritto dell’Unione «prevale il pertinente diritto dell’Unione o nazionale in materia di protezione dei dati personali».
La soluzione più semplice ed efficace per agevolare l’altruismo dei dati sarebbe stata introdurre nel GDPR eccezioni ai principi e alle regole generali tutte le volte in cui il trattamento di dati personali può favorire un miglioramento dell’assistenza sanitaria e l’elaborazione delle politiche pubbliche o la ricerca scientifica nell’interesse generale. Viceversa, come nelle altre normative della strategia europea dei dati, anche nel DGA il legislatore europeo si è attenuto al tabù dell’intoccabilità del GDPR, limitandosi a creare un sistema parallelo subordinato al GDPR ed alle normative nazionali sul trattamento dei dati sanitari a fini di ricerca.
Organizzazioni riconosciute per l’altruismo dei dati: requisiti UE
Nella visione europea, nessuno dev’essere obbligato a mettere i propri dati personali a disposizione della scienza, ma chiunque può essere invitato ad aiutare – se vuole – la ricerca. Di qui, la scelta del DGA di stare un passo indietro al GDPR, offrendo però indicazioni ulteriori a favore della circolazione dei dati personali.
Il DGA dice in modo esplicito qualcosa che il GDPR di suo non escludeva, ma nemmeno menzionava: gli Stati membri possono usare la loro sovranità per incoraggiare la generosità delle persone sui propri dati. Secondo l’art. 16 del DGA, ogni Stato membro può – se vuole – stabilire politiche nazionali per l’altruismo dei dati, ad esempio assistendo gli interessati a rendere disponibili su base volontaria a fini di altruismo dei dati i dati personali che li riguardano detenuti da enti pubblici, e definendo le informazioni necessarie che devono essere fornite agli interessati in merito al riutilizzo dei loro dati nell’interesse generale.
Per facilitare gli interessati a fidarsi, il DGA ha creato un nuovo soggetto: le organizzazioni per l’altruismo dei dati, vale a dire enti non profit dedicati proprio a sollecitare la generosità sui dati (personali e non personali).
Elemento clou della disciplina è che un’organizzazione per l’altruismo dei dati riconosciuta non deve mai utilizzare i dati per altri obiettivi diversi da quelli di interesse generale per i quali gli interessati acconsentono al trattamento, né ricorrere a pratiche commerciali ingannevoli per sollecitare la fornitura di dati.
Secondo l’art. 18 del DGA, per essere riconosciuta in uno Stato membro dell’Unione Europea, un’organizzazione per l’altruismo dei dati deve:
a) svolgere attività di altruismo dei dati;
b) essere una persona giuridica costituita a norma del diritto nazionale per conseguire obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile; c) operare senza scopo di lucro ed essere giuridicamente indipendente da qualsiasi entità che operi a scopo di lucro;
d) svolgere le proprie attività di altruismo dei dati mediante una struttura funzionalmente separata dalle sue altre attività;
e) rispettare un apposito codice per le organizzazioni per l’altruismo dei dati che dovrà essere adottato dalla Commissione Europea per definire requisiti di informazione, tecnici e di sicurezza, nonché tabelle di marcia per la comunicazione e norme di interoperabilità (e di cui, dopo un anno e mezzo da quando il DGA è esecutivo, non c’è traccia).
Come funziona la registrazione delle organizzazioni per l’altruismo dei dati
Il combinato disposto della lettera a) e della lettera d) della norma indica che può registrarsi come organizzazione per l’altruismo dei dati anche un ente che, oltre all’altruismo dei dati, persegue altri scopi (purché non lucrativi), a patto che l’attività di altruismo dei dati sia segregata dalle altre attività. Se questo vale per le organizzazioni per l’altruismo dei dati riconosciute, deve valere anche per le non riconosciute.
L’art. 19 del DGA disciplina la procedura di registrazione a livello nazionale. La domanda deve essere presentata all’autorità competente. In Italia AgID, autorità competente è AgID, ai sensi del D. lgs. 144/2024. Finora, AgID non ha reso operativo il registro pubblico nazionale delle organizzazioni per l’altruismo dei dati e non ha pubblicato la procedura per aderirvi. Una volta che il registro sarà funzionante, ogni volta che AgID accoglierà una domanda di registrazione, dovrà notificare l’accoglimento alla Commissione UE. Quest’ultima inserirà l’organizzazione nel Registro UE delle organizzazioni per l’altruismo dei dati riconosciute. Attualmente, in questo registro risulta solo la spagnola Associació Dades Pel Benestar Planetari (DATALOG).
Oltre a gestire la procedura di registrazione, ai sensi dell’art. 24 del DGA AgID avrà il compito di monitorare e controllare la conformità dell’operato delle organizzazioni riconosciute in Italia al DGA, nonché poteri inibitori, coercitivi e sanzionatori nei casi in cui rilevi delle non conformità al DGA.
Per garantire che le organizzazioni per l’altruismo dei dati riconosciute siano facilmente identificabili in tutta l’Unione Europea, la Commissione UE stabilirà, mediante atti di esecuzione, un disegno per il logo comune. Le organizzazioni per l’altruismo dei dati riconosciute dovranno esporre questo logo comune in modo chiaro su ogni pubblicazione online e offline relativa alle loro attività di altruismo dei dati. Il logo comune sarà accompagnato da un codice QR con un link al registro pubblico dell’Unione delle organizzazioni per l’altruismo dei dati riconosciute (art. 17 del DGA). Inoltre, la Commissione UE adotterà atti di esecuzione per l’istituzione e l’elaborazione di un modulo europeo di consenso all’altruismo dei dati, previa consultazione dell’EDPB (Comitato europeo per la protezione dei dati), tenendo conto del parere del Comitato europeo per l’innovazione in materia di dati e coinvolgendo opportunamente i pertinenti portatori di interessi.
Adempimenti complessi per le organizzazioni riconosciute
Vediamo gli obblighi per un’organizzazione per l’altruismo dei dati personali riconosciuta. Essa deve:
- tenere registri completi e accurati per quanto riguarda: a) gli enti cui è stata data la possibilità di trattare i dati personali detenuti dall’organizzazione, e i loro recapiti; b) la data o la durata del trattamento dei dati personali; c) le finalità del trattamento, quali dichiarate dagli enti cui è stata data la possibilità di effettuarlo; d) le eventuali tariffe pagate dagli enti che trattano i dati;
- informare in maniera chiara e facilmente comprensibile gli interessati, prima di qualsiasi trattamento dei loro dati personali, in merito agli obiettivi di interesse generale e, se opportuno, alla finalità determinata, esplicita e legittima per cui i dati devono essere trattati;
- fornire strumenti per il rilascio del consenso degli interessati e per la sua agevole revoca;
- elaborare e trasmettere all’autorità competente una relazione annuale di attività che contiene almeno gli elementi seguenti: a) informazioni sulle sue attività ; b) una descrizione delle modalità con cui, nel corso dell’esercizio finanziario considerato, sono stati promossi gli obiettivi di interesse generale per le quali sono stati raccolti i dati; c) un elenco di tutte le persone fisiche e giuridiche autorizzate a trattare i dati detenuti dall’entità, corredato di una descrizione sintetica degli obiettivi di interesse generale perseguiti da tale trattamento dei dati e di una descrizione dei mezzi tecnici impiegati a tal fine, compresa una descrizione delle tecniche utilizzate per proteggere i dati personali; d) una sintesi dei risultati dei trattamenti autorizzati dall’organizzazione per l’altruismo dei dati riconosciuta, se opportuno; e) informazioni sulle fonti di entrate e sulle spese.
Visto che le organizzazioni per l’altruismo dei dati devono operare senza scopo di lucro ed essere indipendenti da qualsiasi entità con scopo di lucro, e considerato che l’insieme di adempimenti sopra indicati è costoso, è facile prevedere che di organizzazioni riconosciute per l’altruismo dei dati, ce ne saranno pochissime.
Alternative italiane: associazioni non riconosciute e loro vantaggi
Tuttavia, il DGA non rende la registrazione obbligatoria. Al considerando (48), il DGA afferma di non voler pregiudicare l’istituzione, l’organizzazione e il funzionamento di entità che intendono impegnarsi nell’ambito dell’altruismo dei dati a norma del diritto nazionale e che si basa sui requisiti imposti del diritto nazionale per operare in modo legale in uno Stato membro in qualità di organizzazione senza scopo di lucro.
In Italia, le associazioni possono essere sia riconosciute che non riconosciute. All’art. 18, la Costituzione enuncia un principio che ha indotto perfino i partiti a non registrarsi e che deve valere per le organizzazioni per l’altruismo dei dati: «i cittadini hanno diritto di associarsi liberamente, senza autorizzazione, per fini che non sono vietati ai singoli dalla legge penale». Secondo l’art. 36 del Codice civile «l’ordinamento interno e l’amministrazione delle associazioni non riconosciute come persone giuridiche sono regolati dagli accordi degli associati. Le dette associazioni possono stare in giudizio nella persona di coloro ai quali, secondo questi accordi, è conferita la presidenza o la direzione». Da sempre, le associazioni non riconosciute hanno una larghissima diffusione. Ciò dipende anche dal fatto che è più semplice costituirle: lo si può fare con scrittura privata, senza far redigere l’atto costitutivo da un notaio. L’elemento caratteristico delle associazioni non riconosciute è il loro non avere personalità giuridica, quindi autonomia patrimoniale. Quando un’associazione non riconosciuta assume un’obbligazione, questa produce effetti, oltre che sul fondo comune, anche sul patrimonio di coloro (generalmente, associati) che hanno agito in nome e per conto dell’associazione.
Strategie per favorire l’altruismo dei dati nella ricerca sanitaria italiana
Da quanto esposto, ricaviamo alcuni elementi su cui si potrebbe lavorare per fare in modo che – in attesa dell’operatività dell’EHDS – l’altruismo dei dati contribuisca a rilanciare la ricerca italiana in ambito sanitario:
- non occorre aspettare che AgID pubblichi la procedura di registrazione, né che la Commissione UE adotti gli atti ad essa delegati, perché nascano anche in Italia organizzazioni per l’altruismo dei dati; infatti, possono ben esserci associazioni non riconosciute, soggette alle regole civilistiche;
- un ente senza scopo di lucro italiano già esistente ed avente altri scopi (ad esempio un’associazione non profit per la ricerca, un’associazione di pazienti) può dedicarsi anche all’altruismo dei dati;
- l’Italia può iniziare a adottare politiche che favoriscano la nascita di organizzazioni per l’altruismo dei dati anche non riconosciute: ad esempio, iniziative di comunicazione istituzionale che aiutino il pubblico a fidarsi, o forme di sovvenzione economica ad associazioni attive in questo ambito;
- le sovvenzioni economiche pubbliche, o finanziamenti e sponsorizzazioni del settore privato, potrebbero permettere a queste organizzazioni di affrontare i rilevanti sforzi della compliance: tenuta di registri, misure di sicurezza, ma soprattutto piattaforme per l’informazione continua agli interessati e per la raccolta e gestione dei loro consensi, secondo le due possibili modalità che descrivo qui sotto;
- attingendo ad esperienze virtuose (come CHRIS, lo studio collaborativo di ricerca sulla salute in Alto Adige), si potrebbero mettere a punto soluzioni di “consenso dinamico”, che coniugano alcune caratteristiche del “consenso ampio” (gradito agli enti di ricerca, ma finora mai approvato dal Garante) e cioè l’ampiezza degli obiettivi ricerca e dell’orizzonte temporale in cui essa si svolge, ma anche caratteristiche del “consenso specifico” richiesto dal GDPR, e cioè la continua comunicazione tra ricercatori e partecipanti, la possibilità per i partecipanti di visualizzare e modificare le proprie scelte (entrambe facilitate dall’uso di un’apposita piattaforma) nonché i meccanismi di governance (in base ai quali le istituzioni che vogliono accedere alla piattaforma devono presentare una richiesta formale ad un apposito comitato, che supervisiona l’accesso ai dati e ai campioni biologici);
- in alternativa, si potrebbero mettere a punto soluzioni di “meta-consenso”, impostando piattaforme come quella descritta al punto precedente in modo tale da consentire agli individui per prestare il consenso ampio o specifico, a seconda dei casi e delle preferenze personali.
Due anni fa il Governo federale tedesco ha pubblicato un documento intitolato Driving progress with data, in cui si afferma che: 1) una cultura dei dati coraggiosa e responsabile è importante in tutti i settori della società; 2) oltre alle agenzie governative, anche i gruppi della società civile, le imprese commerciali e gli istituti di ricerca hanno un ruolo importante da svolgere nel sostenere la condivisione volontaria dei dati; 3) gli individui dovrebbero avere il potere di condividere i propri dati nell’interesse pubblico in modo autodeterminato. Sarebbe positivo che anche il Governo italiano decidesse di sostenere l’altruismo dei dati.
Autore: Diego Fulco – Partner netforLegaL, Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati
