Le Linee guida EDPB 1/2026 sul GDPR e ricerca scientifica definiscono per la prima volta criteri operativi su broad consent, basi giuridiche alternative e soglie di anonimizzazione. Chi assiste università, ospedali o biobank deve aggiornare subito i modelli di consenso e le valutazioni d’impatto. Il documento EDPB non ha forza normativa diretta, ma orienta l’interpretazione del Garante italiano in caso di ispezione o sanzione.
Punti chiave
- Punto 1 — Il broad consent è valido solo se l’area di ricerca è definita con sufficiente specificità nell’informativa.
- Punto 2 — Il legittimo interesse non copre di default il trattamento di dati sanitari a fini di ricerca privata.
- Punto 3 — La pseudonimizzazione non equivale ad anonimizzazione: i dati pseudonimizzati restano dati personali a tutti gli effetti.
Chi assiste enti di ricerca, università, ospedali o aziende farmaceutiche ha ora un riferimento ufficiale per strutturare contratti, informative e DPA in modo conforme. Le Linee guida EDPB 1/2026 colmano un vuoto interpretativo che durava dal 2018 e che aveva prodotto prassi difformi tra i vari Garanti nazionali.
L’European Data Protection Board ha pubblicato le Linee guida 1/2026 su GDPR e ricerca scientifica, chiarendo i nodi più controversi: ambito del broad consent, scelta della base giuridica, condizioni per il riutilizzo dei dati in banche dati di ricerca, criteri di anonimizzazione e pseudonimizzazione.
Il contesto normativo
Il quadro di riferimento parte dall’art. 89 GDPR, che consente deroghe alle garanzie ordinarie quando il trattamento serve finalità di ricerca scientifica, a condizione che esistano misure tecniche e organizzative adeguate. In Italia, il d.lgs. 196/2003 (Codice Privacy), come modificato dal d.lgs. 101/2018, recepisce queste deroghe agli artt. 110 e 110-bis, prevedendo per la ricerca medica e biomedica la possibilità di trattare dati sulla salute anche in assenza di consenso specifico, previa autorizzazione del Garante o rispetto di codici di condotta accreditati. Le Linee guida EDPB 1/2026 si innestano su questo impianto e ne chiariscono i margini applicativi a livello sovranazionale.
Cosa cambia per lo studio
- Revisione delle informative con broad consent. L’EDPB precisa che il consenso ampio è ammissibile solo se l’informativa identifica l’area tematica della ricerca con sufficiente dettaglio. Un consenso generico a «finalità di ricerca scientifica» non soddisfa il requisito. Ogni modello di consenso esistente va verificato rispetto a questo standard.
- Scelta della base giuridica per soggetti privati. Le aziende farmaceutiche e i CRO privati non possono invocare l’interesse pubblico ex art. 6(1)(e) GDPR senza una specifica base legale nazionale. L’EDPB ribadisce che il legittimo interesse ex art. 6(1)(f) non si applica ai dati delle categorie speciali ex art. 9 GDPR, compresa la salute. Chi ha costruito i propri trattamenti su questa base deve riconsiderare l’impostazione.
- Riutilizzo dei dati in banche dati di ricerca. Il documento ammette il riutilizzo a fini di ricerca compatibile, ma richiede una valutazione di compatibilità documentata secondo i criteri dell’art. 6(4) GDPR. Non basta affermare la compatibilità: va verbalizzata con riferimento ai fattori elencati dalla norma.
- Pseudonimizzazione vs. anonimizzazione. L’EDPB ribadisce — e questo ha impatto diretto sulle clausole contrattuali — che i dati pseudonimizzati restano dati personali. Le clausole di esonero dal GDPR inserite nei data sharing agreement perché «i dati sono pseudonimizzati» sono tecnicamente errate e vanno rimosse.
- DPIA obbligatoria in più casi. Le linee guida ampliano i casi in cui la valutazione d’impatto ex art. 35 GDPR è necessaria, includendo esplicitamente le banche dati genetiche e i registri di patologia, anche quando gestiti da soggetti pubblici.
Attenzione a
Contratti di ricerca già in esecuzione. Se il tuo cliente ha data sharing agreement o accordi di sponsorizzazione clinica firmati prima della pubblicazione delle Linee guida, verifica subito le clausole sulla base giuridica del trattamento e sulla qualificazione del responsabile o del contitolare. Una riqualificazione sbagliata espone a sanzioni fino al 4% del fatturato globale annuo ex art. 83(5) GDPR.
Codici di condotta come scorciatoia non verificata. L’art. 40 GDPR e l’art. 110-bis del Codice Privacy consentono di basare il trattamento su codici di condotta approvati. Nella pratica, molti operatori richiamano codici ancora non formalmente accreditati dal Garante italiano. Inserire questo riferimento in una informativa o in un contratto senza aver verificato lo stato di approvazione è un errore che emerge immediatamente in sede ispettiva.
Domande frequenti
Il broad consent è valido per la ricerca scientifica secondo il GDPR?
Sì, ma solo a condizioni precise. Le Linee guida EDPB 1/2026 chiariscono che il broad consent è ammissibile quando l’informativa identifica con sufficiente specificità l’area tematica della ricerca. Un consenso generico a «qualsiasi finalità scientifica» non regge. L’informativa deve permettere all’interessato di capire ragionevolmente a quali studi i suoi dati potranno essere destinati.
Un’azienda privata può trattare dati sanitari a fini di ricerca senza consenso?
Solo in presenza di una base giuridica nazionale specifica. L’art. 9(2)(j) GDPR consente il trattamento di dati sulla salute per ricerca scientifica, ma richiede che il diritto nazionale preveda misure adeguate. In Italia, l’art. 110-bis del Codice Privacy disciplina questa ipotesi, ma la base non è automaticamente disponibile per qualsiasi soggetto privato: occorre verificare se il trattamento rientra nell’ambito applicativo della norma.
I dati pseudonimizzati sono esclusi dal GDPR nei contratti di ricerca?
No. L’EDPB conferma che i dati pseudonimizzati restano dati personali perché la reidentificazione è tecnicamente possibile. Le clausole contrattuali che escludono l’applicazione del GDPR a dati pseudonimizzati sono giuridicamente errate. Nei data sharing agreement e negli accordi di sponsorizzazione clinica, questa qualificazione va corretta per evitare responsabilità in caso di data breach o ispezione.
Fonte di riferimento: AgendaDigitale