Art. 8
Ricerca e sperimentazione scientifica nella realizzazione di sistemi
di intelligenza artificiale in ambito sanitario
1. I trattamenti di dati, anche personali, eseguiti da soggetti
pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e
cura a carattere scientifico (IRCCS), di cui al decreto legislativo
16 ottobre 2003, n. 288, nonche' da soggetti privati operanti nel
settore sanitario nell'ambito di progetti di ricerca a cui
partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS,
per la ricerca e la sperimentazione scientifica nella realizzazione
di sistemi di intelligenza artificiale per finalita' di prevenzione,
diagnosi e cura di malattie, sviluppo di farmaci, terapie e
tecnologie riabilitative, realizzazione di apparati medicali, incluse
protesi e interfacce fra il corpo e strumenti di sostegno alle
condizioni del paziente, salute pubblica, incolumita' della persona,
salute e sicurezza sanitaria nonche' studio della fisiologia, della
biomeccanica e della biologia umana anche in ambito non sanitario, in
quanto necessari ai fini della realizzazione e dell'utilizzazione di
banche di dati e modelli di base, sono dichiarati di rilevante
interesse pubblico in attuazione degli articoli 32 e 33 della
Costituzione e nel rispetto di quanto previsto dall'articolo 9,
paragrafo 2, lettera g), del regolamento (UE) 2016/679 del Parlamento
europeo e del Consiglio, del 27 aprile 2016.
2. Ai medesimi fini, fermo restando l'obbligo di informativa in
favore dell'interessato, che puo' essere assolto anche mediante
un'informativa generale messa a disposizione nel sito web del
titolare del trattamento e senza ulteriore consenso dell'interessato
ove inizialmente previsto dalla legge, e' sempre autorizzato l'uso
secondario di dati personali privi degli elementi identificativi
diretti, anche appartenenti alle categorie indicate all'articolo 9
del regolamento (UE) 2016/679, da parte dei soggetti di cui al comma
1, salvi i casi nei quali la conoscenza dell'identita' degli
interessati sia inevitabile o necessaria al fine della tutela della
loro salute.
3. Negli ambiti di cui al comma 1 o per le finalita' di cui
all'articolo 2-sexies, comma 2, lettera v), del codice in materia di
protezione dei dati personali, di cui al decreto legislativo 30
giugno 2003, n. 196, e' sempre consentito, previa informativa
all'interessato ai sensi dell'articolo 13 del regolamento (UE)
2016/679, il trattamento per finalita' di anonimizzazione,
pseudonimizzazione o sintetizzazione dei dati personali, anche
appartenenti alle categorie particolari di cui all'articolo 9,
paragrafo 1, del medesimo regolamento (UE) 2016/679. E' consentito
altresi' il predetto trattamento finalizzato allo studio e alla
ricerca sui gesti atletici, sui movimenti e sulle prestazioni
nell'attivita' sportiva in tutte le sue forme, nel rispetto dei
principi generali di cui alla presente legge e dei diritti di
sfruttamento economico dei dati relativi alle attivita' agonistiche
che spettano a chi le organizza.
4. L'Agenzia nazionale per i servizi sanitari regionali (AGENAS),
previo parere del Garante per la protezione dei dati personali,
tenendo conto di standard internazionali e dello stato dell'arte e
della tecnica, puo' stabilire e aggiornare linee guida per le
procedure di anonimizzazione di dati personali, di cui al comma 3, e
per la creazione di dati sintetici, anche per categorie di dati e
finalita' di trattamento.
5. I trattamenti di dati di cui ai commi 1 e 2 devono essere
comunicati al Garante per la protezione dei dati personali con
l'indicazione di tutte le informazioni previste dagli articoli 24,
25, 32 e 35 del regolamento (UE) 2016/679, nonche' con l'indicazione
espressa, ove presenti, dei soggetti individuati ai sensi
dell'articolo 28 del medesimo regolamento (UE) 2016/679, e possono
essere avviati decorsi trenta giorni dalla predetta comunicazione se
non sono stati oggetto di provvedimento di blocco disposto dal
Garante per la protezione dei dati personali.
6. Restano fermi i poteri ispettivi, interdittivi e sanzionatori
del Garante per la protezione dei dati personali.
Note all'art. 8:
- Il decreto legislativo 16 ottobre 2003, n. 288,
recante: «Riordino della disciplina degli Istituti di
ricovero e cura a carattere scientifico, a norma
dell'articolo 42, comma 1, della legge 16 gennaio 2003, n.
3», e' pubblicato nella Gazzetta Ufficiale n. 250 del 27
ottobre 2003.
- Si riporta il testo degli articoli 32 e 33 della
Costituzione:
«Art. 32. - La Repubblica tutela la salute come
fondamentale diritto dell'individuo e interesse della
collettivita', e garantisce cure gratuite agli indigenti.
Nessuno puo' essere obbligato a un determinato
trattamento sanitario se non per disposizione di legge. La
legge non puo' in nessun caso violare i limiti imposti dal
rispetto della persona umana.
Art. 33. - L'arte e la scienza sono libere e libero ne
e' l'insegnamento.
La Repubblica detta le norme generali sull'istruzione
ed istituisce scuole statali per tutti gli ordini e gradi.
Enti e privati hanno il diritto di istituire scuole ed
istituti di educazione, senza oneri per lo Stato.
La legge, nel fissare i diritti e gli obblighi delle
scuole non statali che chiedono la parita', deve assicurare
ad esse piena liberta' e ai loro alunni un trattamento
scolastico equipollente a quello degli alunni di scuole
statali.
E' prescritto un esame di Stato per l'ammissione ai
vari ordini e gradi di scuole o per la conclusione di essi
e per l'abilitazione all'esercizio professionale.
Le istituzioni di alta cultura, universita' ed
accademie, hanno il diritto di darsi ordinamenti autonomi
nei limiti stabiliti dalle leggi dello Stato.
La Repubblica riconosce il valore educativo, sociale e
di promozione del benessere psicofisico dell'attivita'
sportiva in tutte le sue forme.».
- Per i riferimenti al Regolamento (UE) 2016/679 del
parlamento europeo e del consiglio del 27 aprile 2016 si
vedano le note all'articolo 4.
- Si riporta il testo dell'articolo 2-sexies del citato
decreto legislativo 30 giugno 2003, n.196, recante:
«Art. 2-sexies (Trattamento di categorie particolari di
dati personali necessario per motivi di interesse pubblico
rilevante). - 1. I trattamenti delle categorie particolari
di dati personali di cui all'articolo 9, paragrafo 1, del
Regolamento, necessari per motivi di interesse pubblico
rilevante ai sensi del paragrafo 2, lettera g), del
medesimo articolo, sono ammessi qualora siano previsti dal
diritto dell'Unione europea ovvero, nell'ordinamento
interno, da disposizioni di legge o di regolamento o da
atti amministrativi generali che specifichino i tipi di
dati che possono essere trattati, le operazioni eseguibili
e il motivo di interesse pubblico rilevante, nonche' le
misure appropriate e specifiche per tutelare i diritti
fondamentali e gli interessi dell'interessato.
1-bis. I dati personali relativi alla salute,
pseudonimizzati, sono trattati, anche mediante
interconnessione, dal Ministero della salute, dall'Istituto
superiore di sanita' (ISS), dall'Agenzia nazionale per i
servizi sanitari regionali (AGENAS), dall'Agenzia italiana
del farmaco (AIFA), dall'Istituto nazionale per la
promozione della salute delle popolazioni migranti e per il
contrasto delle malattie della poverta' (INMP), nonche',
relativamente ai propri assistiti, dalle regioni e dalle
province autonome, nel rispetto delle finalita'
istituzionali di ciascuno, secondo le modalita' individuate
con decreto del Ministro della salute, adottato ai sensi
del comma 1 previo parere del Garante per la protezione dei
dati personali.
1-ter. Il Ministero della salute disciplina, con uno o
piu' decreti adottati ai sensi del comma 1,
l'interconnessione a livello nazionale dei sistemi
informativi su base individuale, pseudonomizzati, vi
incluso il fascicolo sanitario elettronico (FSE), compresi
quelli gestiti dai soggetti di cui al comma 1-bis o da
altre pubbliche amministrazioni che a tal fine adeguano i
propri sistemi informativi.
I decreti di cui al primo periodo adottati, previo
parere del Garante per la protezione dei dati personali,
nel rispetto del Regolamento, del presente codice, del
codice dell'amministrazione digitale di cui al decreto
legislativo 7 marzo 2005, n. 82, e delle linee guida
emanate dall'Agenzia per l'Italia digitale in materia di
interoperabilita', definiscono le caratteristiche e
disciplinano un ambiente di trattamento sicuro all'interno
del quale vengono messi a disposizione dati anonimi o
pseudonimizzati, per le finalita' istituzionali di
ciascuno, secondo le modalita' individuate al comma 1.
2. Fermo quanto previsto dal comma 1, si considera
rilevante l'interesse pubblico relativo a trattamenti
effettuati da soggetti che svolgono compiti di interesse
pubblico o connessi all'esercizio di pubblici poteri nelle
seguenti materie:
a) accesso a documenti amministrativi e accesso
civico;
b) tenuta degli atti e dei registri dello stato
civile, delle anagrafi della popolazione residente in
Italia e dei cittadini italiani residenti all'estero, e
delle liste elettorali, nonche' rilascio di documenti di
riconoscimento o di viaggio o cambiamento delle
generalita';
c) tenuta di registri pubblici relativi a beni
immobili o mobili;
d) tenuta dell'anagrafe nazionale degli abilitati
alla guida e dell'archivio nazionale dei veicoli;
e) cittadinanza, immigrazione, asilo, condizione
dello straniero e del profugo, stato di rifugiato;
f) elettorato attivo e passivo ed esercizio di altri
diritti politici, protezione diplomatica e consolare,
nonche' documentazione delle attivita' istituzionali di
organi pubblici, con particolare riguardo alla redazione di
verbali e resoconti dell'attivita' di assemblee
rappresentative, commissioni e di altri organi collegiali o
assembleari;
g) esercizio del mandato degli organi
rappresentativi, ivi compresa la loro sospensione o il loro
scioglimento, nonche' l'accertamento delle cause di
ineleggibilita', incompatibilita' o di decadenza, ovvero di
rimozione o sospensione da cariche pubbliche;
h) svolgimento delle funzioni di controllo, indirizzo
politico, inchiesta parlamentare o sindacato ispettivo e
l'accesso a documenti riconosciuto dalla legge e dai
regolamenti degli organi interessati per esclusive
finalita' direttamente connesse all'espletamento di un
mandato elettivo;
i) attivita' dei soggetti pubblici dirette
all'applicazione, anche tramite i loro concessionari, delle
disposizioni in materia tributaria e doganale, comprese
quelle di prevenzione e contrasto all'evasione fiscale;
l) attivita' di controllo e ispettive;
m) concessione, liquidazione, modifica e revoca di
benefici economici, agevolazioni, elargizioni, altri
emolumenti e abilitazioni;
n) conferimento di onorificenze e ricompense,
riconoscimento della personalita' giuridica di
associazioni, fondazioni ed enti, anche di culto,
accertamento dei requisiti di onorabilita' e di
professionalita' per le nomine, per i profili di competenza
del soggetto pubblico, ad uffici anche di culto e a cariche
direttive di persone giuridiche, imprese e di istituzioni
scolastiche non statali, nonche' rilascio e revoca di
autorizzazioni o abilitazioni, concessione di patrocini,
patronati e premi di rappresentanza, adesione a comitati
d'onore e ammissione a cerimonie ed incontri istituzionali;
o) rapporti tra i soggetti pubblici e gli enti del
terzo settore;
p) obiezione di coscienza;
q) attivita' sanzionatorie e di tutela in sede
amministrativa o giudiziaria;
r) rapporti istituzionali con enti di culto,
confessioni religiose e comunita' religiose;
s) attivita' socio-assistenziali a tutela dei minori
e soggetti bisognosi, non autosufficienti e incapaci;
t) attivita' amministrative e certificatorie
correlate a quelle di diagnosi, assistenza o terapia
sanitaria o sociale, ivi incluse quelle correlate ai
trapianti d'organo e di tessuti nonche' alle trasfusioni di
sangue umano;
u) compiti del servizio sanitario nazionale e dei
soggetti operanti in ambito sanitario, nonche' compiti di
igiene e sicurezza sui luoghi di lavoro e sicurezza e
salute della popolazione, protezione civile, salvaguardia
della vita e incolumita' fisica;
v) programmazione, gestione, controllo e valutazione
dell'assistenza sanitaria, ivi incluse l'instaurazione, la
gestione, la pianificazione e il controllo dei rapporti tra
l'amministrazione ed i soggetti accreditati o convenzionati
con il servizio sanitario nazionale;
z) vigilanza sulle sperimentazioni, farmacovigilanza,
autorizzazione all'immissione in commercio e
all'importazione di medicinali e di altri prodotti di
rilevanza sanitaria;
aa) tutela sociale della maternita' ed interruzione
volontaria della gravidanza, dipendenze, assistenza,
integrazione sociale e diritti dei disabili;
bb) istruzione e formazione in ambito scolastico,
professionale, superiore o universitario;
cc) trattamenti effettuati a fini di archiviazione
nel pubblico interesse o di ricerca storica, concernenti la
conservazione, l'ordinamento e la comunicazione dei
documenti detenuti negli archivi di Stato negli archivi
storici degli enti pubblici, o in archivi privati
dichiarati di interesse storico particolarmente importante,
per fini di ricerca scientifica, nonche' per fini
statistici da parte di soggetti che fanno parte del sistema
statistico nazionale (Sistan);
dd) instaurazione, gestione ed estinzione, di
rapporti di lavoro di qualunque tipo, anche non retribuito
o onorario, e di altre forme di impiego, materia sindacale,
occupazione e collocamento obbligatorio, previdenza e
assistenza, tutela delle minoranze e pari opportunita'
nell'ambito dei rapporti di lavoro, adempimento degli
obblighi retributivi, fiscali e contabili, igiene e
sicurezza del lavoro o di sicurezza o salute della
popolazione, accertamento della responsabilita' civile,
disciplinare e contabile, attivita' ispettiva.
3. Per i dati genetici, biometrici e relativi alla
salute il trattamento avviene comunque nel rispetto di
quanto previsto dall'articolo 2-septies.».