Nell’ambito della genomica (e non solo) ci si trova molto spesso ad affrontare la dicotomia tra protezione della privacy e raccolta e accesso ai dati. Si tratta di una dicotomia che si è presentata anche durante la scrittura del GDPR quando si è proposto che, per utilizzare dati raccolti per uno specifico scopo (e quindi per ricerche biomediche) per altri scopi di ricerca, andasse richiesto il consenso a tutti i data subject. Tale emendamento è stato poi bocciato perché la dicotomia tra ricerca scientifica in ambito biomedico, salute pubblica e privacy è “falsata” in quanto la privacy rappresenta un diritto fondamentale ma non assoluto: per tali ragioni lo si può modulare e lo si fa a seconda degli interessi competitor. E’ quanto è avvenuto nel confronto con la public health.
Tale relazione, dunque, se da un lato può essere considerata falsata, dall’altro permette di identificare problemi importanti da considerare. Innanzitutto, quando si parla di dati per la ricerca medica ci si pone il problema per cui, nonostante si tratti di grandi moli di dati, è possibile identificare i data subject, i pazienti, che possono essere facilmente oggetto di discriminazione. Ciò ha fatto sì che, nel tempo, l’accesso ai dati tra diversi Paesi e gruppi di ricerca fosse osteggiato o limitato: si tratta di un problema soprattutto nell’ambito della genomica, in cui è importante avere accesso a grandi moli di dati e incrociare database, perché è questo che consente fare la mappatura specifica di una particolare malattia o patologia.
Un altro tema di interesse riguarda l’accesso ai dati della genomica nel conteso europeo: la soluzione a questi problemi è sia tecnologica quanto di governance etica (ambito in cui l’Europa è leader mondiale, considerata la forte attenzione che vi dedica). Tuttavia, bisogna costruire una serie di codici etici che sono previsi dal GDPR, in grado di guidare scienziati e comunità scientifiche in queste scelte difficili rispetto alla condivisione dei dati, all’accesso cross border, alla possibilità di accedere ai dati di paesi terzi o di permettere a scienziati di paesi terzi che non hanno le strutture o gli strumenti per raccogliere grandi moli di dati di accedere ai dati europei per sviluppare le loro ricerche.
In questo senso, serve, dunque, la definizione di pratiche in ambito scientifico e relative alla gestione dei dati che non si focalizzi soltanto sulla parte legale ma anche su quella etica: bisogna iniziare a pensare all’etica come qualcosa che avviene post compliance. Il GDPR indica delle basi minime da rispettare ma lascia molto spazio ad interpretazioni, rendendo, dunque, necessario definire una governance etica del digitale per la ricerca biomedica ma, in maniera più ampia, anche nel contesto well-being ed healthcare.
Un’altra problematica da prendere in considerazione riguarda le infrastrutture, tema in relazione a cui la Commissione Europea, riprendendo l’opinione espressa dal Consiglio Europeo, ha dichiarato di voler definire un’infrastruttura a supporto della ricerca biomedica.
In questo senso le strutture cloud sono fondamentali perché permettono un accesso efficiente ed efficace, sicuro, distribuito e soprattutto scalabile. Inoltre, permettono di:
- favorire l’accesso alle informazioni/dati in maniera ampia,
- rispettare la sovranità dei dati, prestando, così, attenzione ai valori dei data subject, elemento da cui non si può prescindere.
Quello della sovranità digitale è un concetto fondamentale che si compone di due elementi:
- territorialità (i data center devono essere collocati all’interno dei Paesi membri dell’Unione Europea, perché è così che si garantisce l’accesso ai dati – quando si trovano in Paesi terzi possono essere alla mercè di leggi o intenzioni di governi terzi),
- accesso e gestione dei dati che si deve coordinare con i principi del GDPR e con i valori dell’Unione Europea. Ciò vuol dire non soltanto costruire data center in Europa ma anche creare servizi cloud secondo standard che rispecchino i nostri valori e principi. In questo senso, ad esempio, è fondamentale l’esperienza di Gaia-X perché permette di definire gli standard e i requirement che qualsiasi servizio di cloud provider in Europa dovrà rispettare.
Infine, un’ultima osservazione. La concezione della privacy che si ha oggi non è al passo con i tempi. Si pensi, ad esempio, alle tecnologie di Artificial Intelligence, Big Data, strumenti che non funzionano sull’individuazione del singolo ma sulla categorizzazione e correlazione tra categorie, un aspetto che pone problemi in termini di discriminazione e profilazione. In questo senso, dunque, è importante rivedere il modo di comprendere la privacy e iniziare a pensare a come proteggere i diritti dei gruppi in aggiunta ai diritti degli individui. Si tratta di un’attività che assume rilevanza soprattutto nel contesto dell’healthcare (in cui le categorie sono quelle delle patologie).