GDPR, la nuova legge europea sulla privacy
Luci ed ombre secondo la rivista Nature
Commento di Gianni Pezzoli. Si fa un gran parlare di privacy in questo momento, e di un adeguamento della normativa preesistente a quella europea entrata in vigore alla fine di maggio. Noi lavoriamo con i pazienti da 40 anni e non è mai accaduto che ci sia stata una sola fuga di notizie coperte dalla privacy. Mi par di capire che coloro che non la rispettano siano i grandi socialmedia che vendono le informazioni che noi stessi inseriamo nei nostri profili online. L'auspicio è che questa legge non venga ancora una volta a peggiore le condizioni del medico e del ricercatore impeganti sempre di più in compiti burocratici piuttosto che sanitari con il paziente. Rivolgo una domanda a tutti i dirigenti di politica sanitaria regionale, nazionale e sovranazionale. Quanto tempo della visita, in percentuale, deve essere dedicato alla burocrazia e quanto al paziente?
questo articolo tradotto da una delle più prestigiose riviste del modo indica in modo molto soft questa preoccupazione.
Traduzione di articolo su Nature 557, 467 (2018)
Le nuove norme sulla protezione dei dati sono oggetto di discussione da parte delle autorità Europee da anni, e gli scienziati e le università – come tutti noi sul continente – stanno per constatarne i risultati. Una nuova normativa nota come “General Data Protection Regulation” (GDPR – Normativa generale relativa alla protezione dei dati ) entra in vigore il 25 maggio con lo scopo di proteggere la privacy personale dei cittadini, e renderà obbligatoria una revisione delle modalità con cui i dati personali vengono raccolti, gestiti, elaborati ed archiviati. E’ un’azione benvenuta, che ha lo scopo di proteggere l’individuo e si tratta della maggiore rivoluzione nel campo della protezione dei dati in più di 20 anni.
Tuttavia, come questa rivista ha già fatto presente in passato, le versioni antecedenti della legge hanno sollevato un problema per la scienza e la comunità dei ricercatori. Di particolare rilievo è la problematica inerente al consenso. La bozza suggeriva che i ricercatori avrebbero dovuto chiedere un nuovo consenso per riutilizzare i dati raccolti per uno scopo diverso e questo avrebbe potuto causare ritardi e rendere determinate ricerche poco fattibili. Molte figure appartenenti al mondo della ricerca si sono impegnati senza riserve per avvertire i politici riguardo al potenziale danno. In risposta, gli ufficiali hanno messo a punto delle norme che esonerano la ricerca da alcuni adempimenti, purché siano fornite adeguate garanzie. Le università ed altre organizzazioni hanno introdotto delle misure che assicurano che lo siano, e la maggior parte del lavoro dovrebbe essere stato completato.
L’approvazione delle norme GDPR finali è, pertanto, un buon esempio dell’impegno politico dei ricercatori e dei loro sostenitori, nonché di una reazione delle autorità ispirata dal buon senso e da una adeguata informazione. Le persone coinvolte, da entrambi i lati, meritano il massimo apprezzamento. L’armonizzazione delle modalità con cui i dati possono essere ottenuti alla fonte, archiviati ed usati sarebbe, in teoria, utile per la ricerca. Potrebbe risolvere le difficoltà che gli scienziati devono affrontare, quando cercano di mettere insieme analisi di dati relativi al genoma ed a campioni tissutali a livello internazionale. Questa condivisione dei dati potrebbe aiutare gli scienziati ad organizzare studi dotati di grande potenza, basati su un grande numero di partecipanti.
Tuttavia, sebbene vi sia motivo per festeggiare, vi sono ancora alcuni problemi irrisolti. E questo significa che gli stessi ricercatori, assieme ai loro sostenitori, non devono abbassare la guardia.
Il problema è che la UE ha delegato ai singoli paesi Europei la decisione su come regolamentare alcuni aspetti della problematica – per esempio, come possono essere elaborati i dati scientifici. L’intenzione era di permettere ai singoli paesi di adattare le nuove norme ai sistemi esistenti, nonché alla cultura locale, ma potrebbe lasciare indietro alcuni paesi. I ricercatori che lavorano facendo uso di sistemi diversi potrebbero fare fatica a condividere i dati. Questo potrebbe causare ritardi nelle negoziazioni tra istituzioni che desiderano stipulare contratti di collaborazione che prevedono la condivisione dei dati.
Al fine di prevenire questa complicazione ed adottare un approccio unificato, rappresentanti del mondo accademico, dell’industria e dei pazienti si sono riuniti ripetutamente nel corso dell’ultimo anno, con lo scopo di trasformare la normativa complessa in una guida semplice e pratica per gli utenti. Questo codice di condotta pianificato ha lo scopo di fornire una guida semplice su “come fare” per esempio, per gli scienziati, con una spiegazione delle differenze tra il modo in cui paesi come la Germania e la Gran Bretagna definiscono i dati “resi anonimi”. Il risultato è il Codice di Condotta per la Ricerca Sanitaria sotto la supervisione della rete di biobanche BBMRI-ERIC (vedere J.-E. Litton Nature 541, 437; 2017), che è quasi pronto per la consultazione. Nel frattempo la ricerca medica rimane vulnerabile di fronte alle conseguenze involontarie della nuova normativa.
Questa situazione è dovuta al fatto che, finché il codice di condotta non è ancora stato implementato ed offre una chiara guida su come rispettare gli obblighi imposti da GDPR, le decisioni quotidiane su come interpretare la normativa vengono prese dagli uffici legali delle singole istituzioni. Sarebbe comprensibile se decidessero di adottare un approccio fin troppo prudente e porre restrizioni sulla condivisione dei dati a causa del timore di infrangere la legge.
Anche quando il Codice di Condotta sarà stato finalizzato, dovrà ancora essere approvato da parte del European Data Protection Board (EDPB – Comitato Europeo per la Protezione dei Dati), che non si è ancora pronunciato sulle modalità di presentazione di tali codici per valutazione, né su quanto tempo la procedura di autorizzazione richiede.
Alcuni hanno argomentato che ritardi nella implementazione del codice potrebbero essere positivi, perché permetterebbero alla comunità scientifica di sviscerare particolari aspetti di quest’area assai complicata della normativa. Tuttavia, altri si preoccupano che se il processo si dilunga troppo, la ricerca medica ne risentirà. Quello che comincia come una posizione cautelativa su come condividere i dati in linea con la normativa potrebbe diventare la pratica usuale.
Questo rappresenterebbe una opportunità mancata e potrebbe mettere a rischio tutto il buon lavoro svolto finora. Gli ufficiali membri di EDPB non devono permetterlo. Il codice deve essere approvato e messo in pratica il più presto possibile. E’ importante proteggere i dati personali; tuttavia, è anche importante assicurare che i dati possano essere usati con integrità per supportare ricerche di valore.
Traduzione di articolo su Nature 557, 467 (2018)
