Le Linee guida n. 1/2026 del Comitato europeo per la protezione dei dati (EDPB), approvate il 15 aprile scorso e tutt'ora in fase di consultazione pubblica fino al 25 giugno 2026, rappresentano un passaggio rilevante nell'elaborazione del regime privacy per la ricerca scientifica, intesa come ricerca a 360 gradi e non soltanto di natura medica. L’obiettivo principale è fornire un quadro coerente, in linea con la Dichiarazione di Helsinki, senza introdurre nuove regole ma organizzando una disciplina frammentata.
Le Linee guida riconoscono l’esigenza di bilanciare due esigenze fondamentali: da una parte, promuovere la ricerca e l’utilizzo efficiente dei dati; dall’altra, tutelare la dignità e i diritti fondamentali degli interessati. A tal fine, l’EDPB si dedica a fornire criteri interpretativi che tengano insieme tali esigenze, rendendole coerenti con il contesto normativo previsto dal Regolamento generale sulla protezione dei dati (GDPR).
Criteri di definizione della "ricerca scientifica"
Uno dei primi chiarimenti apportati riguarda la nozione di “ricerca scientifica”. L’EDPB non assume una prospettiva formale ma un approccio sostanziale. Secondo le Linee guida, il regime agevolato introdotto dal GDPR si applica solo se il titolare del trattamento può dimostrare che l’attività rientri effettivamente nel campo della ricerca scientifica, intesa come attività sviluppata con un piano metodologico, con un obiettivo conoscitivo e sottoposta a un controllo etico indipendente.
Basi giuridiche del trattamento
Nella definizione delle basi giuridiche per il trattamento dei dati, l’EDPB chiarisce che il consenso, come previsto all’art. 6 GDPR, non è l’unica opzione né la base privilegiata. Oltre al consenso, possono essere adottati meccanismi diversi, come l’interesse legittimo o la necessità di adempiere ad un obbligo di legge.
- Per progetti di ricerca di base – in cui le finalità non sono note all’inizio – l’EDPB introduce la figura del “consenso ampio”, un tipo di accordo formulato su un’ampia area di ricerca e accompagnato da garanzie adeguate per limitare l’ambito di utilizzo.
- In alternativa, si può utilizzare il cosiddetto “consenso dinamico”, ovvero una serie di approvazioni successive ottenute a ogni fase o progetto derivato dalla ricerca iniziale.
Inoltre, è riconosciuta la possibilità per il titolare del trattamento di basare i suoi interventi su una base giuridica relativa all’interesse pubblico (ex art. 6, par. 1, lett. e) o su un interesse legittimo (ex art. 6, par. 1, lett. f), con particolare riferimento a progetti a elevato valore sociale.
Dati sanitari e deroghe
Per i dati sanitari, l’applicazione del regime di ricerca richiede un controllo particolare. Non si può procedere senza la verifica esistente di una deroga all'art. 9 GDPR, che in questo caso contempla il consenso specifico e la sussistenza di un contesto scientifico rigoroso.
Compatibilità del trattamento ulteriore
Un altro punto cruciale riguarda la compatibilità dei trattamenti ulteriori. L’EDPB chiarisce che, quando si ha a che fare con dati raccolti per finalità primarie distinte da quelle di ricerca, il titolare può basare tale seconda attività sulla base giuridica originale – a patto che questa sia ritenuta idonea per l’uso secondario.
In caso di utilizzo su base di legittimo interesse, l’EDPB suggerisce di attribuire un peso considerevole all’interesse sociale generato dalla ricerca, bilanciandolo con i diritti fondamentali degli interessati.
Limiti temporali e conservazione
Dal punto di vista delle norme sulla conservazione, le Linee guida ribadiscono il ruolo del titolare nel fissare ex ante un periodo di conservazione dei dati, in base all’obiettivo specifico e ad esigenze scientifiche. In particolare, è ammessa una conservazione prolungata rispetto al tempo strettamente necessario, a condizione che questa resti comunque prevedibile e motivata da un contesto specifico.
Trasparenza
Una particolare attenzione è dedicata al principio della trasparenza, elemento ritenuto irrinunciabile in contesti di lunga durata come la ricerca scientifica. Si consiglia il raccolto di dati di contatto degli interessati per garantire una comunicazione costante. L’EDPB richiama tale dovere anche nei casi di ulteriore trattamento, a patto che i soggetti interessati abbiano dato consenso iniziale per un successivo utilizzo.
Diritti degli interessati
Dal punto di vista dei diritti, come il diritto alla cancellazione (previsto all’art. 17 GDPR), il regolamento concede una certa flessibilità. In casi dove l’esenzione di dati rischia di compromettere il fine scientifico, tale diritto può essere limitato, ma soltanto in presenza di garanzie adeguate, previste dall’art. 89 GDPR.
Conclusione
Le Linee guida EDPB costituiscono un passo avanti significativo verso una maggiore chiarezza in tema di privacy e ricerca scientifica. Tuttavia, non eliminano completamente l’esistente frammentazione, né le criticità specifiche del settore sanitario. Rimangono da definire criteri operativi, ad esempio per la compatibilità delle deroghe o l’applicabilità nazionale di normative complementari, specialmente in paesi dove la tendenza all’autorità del consenso non si è del tutto modificata.