Salta al contenuto
PL Consulting
IT DE
Parla con un consulente

← Tutte le novità

Novità Privacy biotecnologie dati sanitari GDPR pseudonimizzazione trial clinici

EDPB e EDPS: Biotech Act e dati sanitari sensibili, urgono tutele specifiche

12 marzo 2026

Fonte EDPB ↗

In sintesi

L'European Data Protection Board (EDPB) e l'European Data Protection Supervisor (EDPS) hanno emesso un'Opinione Congiunta sul Proposal for a European Biotech Act. Pur sostenendo l'obiettivo di rafforzare il settore biotecnologico e armonizzare la base giuridica per i trial clinici, sottolineano la necessità di salvaguardie rafforzate. Ciò è cruciale a causa dell'elevata sensibilità dei dati sanitari e genetici trattati. L'EDPB e l'EDPS hanno fornito raccomandazioni chiave per garantire che la semplificazione normativa non comprometta il livello di protezione dei partecipanti.

Contesto

Il 12 marzo 2026, l'European Data Protection Board (EDPB) e l'European Data Protection Supervisor (EDPS) hanno adottato una Joint Opinion sulla proposta della Commissione Europea per un European Biotech Act. Questa proposta mira a potenziare i settori europei della biotecnologia e della biomanifattura, in particolare nel campo della salute, attraverso la semplificazione del quadro normativo e l'aggiornamento delle regole per i trial clinici. L'EDPB e l'EDPS esprimono supporto per l'obiettivo di favorire la competitività dell'UE e di superare l'attuale frammentazione nell'applicazione della Clinical Trials Regulation (CTR). Hanno accolto con favore, in particolare, l'intenzione di stabilire una singola base giuridica per il trattamento dei dati personali da parte di sponsor e investigatori, ritenendo che ciò migliorerà significativamente la chiarezza legale in tutta Europa. Tuttavia, hanno evidenziato che la sensibilità dei dati sanitari e genetici trattati nel contesto dei trial clinici richiede un elevato standard di protezione, fornendo raccomandazioni per prevenire che le semplificazioni proposte riducano il livello di protezione dei partecipanti.

Perché conta

Questo parere è di fondamentale importanza per DPO e responsabili IT, in quanto sottolinea l'elevata sensibilità dei dati sanitari e genetici, richiedendo un livello di protezione che va oltre le misure standard. La proposta di una base giuridica unica per i trial clinici è vista come un'opportunità per semplificare la compliance al GDPR, ma l'EDPB e l'EDPS avvertono che ciò deve essere bilanciato con robuste salvaguardie per evitare un declassamento della protezione dei dati personali. Le raccomandazioni mirano a rafforzare la governance dei dati, la gestione dei ruoli di controller e i periodi di conservazione, aspetti centrali per la compliance al GDPR e, indirettamente, agli standard di sicurezza delle informazioni come l'ISO 27001, che richiede l'adozione di misure tecniche e organizzative adeguate (come la pseudonimizzazione) per la protezione degli asset informativi. La necessità di coerenza con l'AI Act evidenzia le sfide emergenti nell'intersezione tra innovazione tecnologica e protezione dei dati, richiedendo un approccio integrato alla sicurezza e alla privacy fin dalla progettazione.

Cosa fare

  • Chiarire i ruoli di controller (sole o joint) per tutti gli attori coinvolti nei trial clinici al fine di garantire una chiara assegnazione delle responsabilità.
  • Limitare il periodo di conservazione obbligatoria di 25 anni esclusivamente al master file del trial clinico, evitando di applicarlo a tutti i dati personali trattati.
  • Definire chiaramente gli scopi e le specifiche salvaguardie per l'ulteriore trattamento dei dati dei trial, specialmente se utilizzati per altre ricerche o trial.
  • Assicurare che le obbligazioni per gli sponsor nel Biotech Act siano complementari e coerenti con i requisiti esistenti dell'AI Act, garantendo un ambiente normativo armonizzato.
  • Richiedere esplicitamente l'uso della pseudonimizzazione come misura tecnica e organizzativa appropriata, ogni volta che non sia necessario trattare dati direttamente identificabili.

Cosa evitare

  • Evitare di abbassare il livello di protezione per i partecipanti ai trial clinici attraverso semplificazioni normative.
  • Evitare l'applicazione indiscriminata del periodo di conservazione di 25 anni a tutti i dati personali.
  • Evitare ambiguità o mancanza di chiarezza nella definizione dei ruoli e delle responsabilità dei data controller.
  • Evitare disconnessioni o incoerenze tra il Biotech Act e l'AI Act nell'adozione di soluzioni basate sull'intelligenza artificiale.

Implicazioni pratiche

Per le organizzazioni attive nel settore biotecnologico, farmaceutico e della ricerca clinica, queste raccomandazioni implicano la necessità di una revisione approfondita delle proprie procedure di trattamento dei dati personali. È essenziale che la gestione dei dati sensibili, in particolare quelli sanitari e genetici, sia basata su principi di privacy by design e by default. Ciò include la definizione chiara delle responsabilità, l'implementazione di misure di sicurezza avanzate come la pseudonimizzazione e la rigorosa gestione dei periodi di conservazione, assicurando la piena conformità al GDPR e ad altre normative settoriali emergenti, come l'AI Act.

Azioni da fare

  • Aggiornare le politiche interne di data retention per distinguere tra master file e altri dati personali, applicando periodi di conservazione mirati.
  • Rivedere e formalizzare i contratti e gli accordi di joint controllership con tutti i partner coinvolti nei trial clinici.
  • Implementare o rafforzare l'uso della pseudonimizzazione e di altre tecniche di minimizzazione dei dati nei processi di ricerca e trattamento.
  • Confrontare i requisiti del Biotech Act (una volta approvato) con quelli dell'AI Act per garantire la conformità integrata nell'uso dell'AI.
  • Sviluppare linee guida interne chiare per l'ulteriore trattamento dei dati a fini di ricerca scientifica, includendo DPIA e salvaguardie specifiche.

Errori da evitare

  • Non avere una chiara comprensione o documentazione dei ruoli di controller e joint controller.
  • Conservare dati personali identificabili più a lungo del necessario o senza una base giuridica chiara.
  • Omettere l'applicazione di misure di sicurezza appropriate come la pseudonimizzazione quando tecnicamente fattibile.
  • Ignorare le intersezioni normative tra il GDPR, l'AI Act e il futuro Biotech Act.

Domande di self-assessment

  • I nostri processi attuali definiscono chiaramente i ruoli di controller e le responsabilità per tutti gli attori dei trial clinici?
  • La nostra politica di conservazione dei dati personali è differenziata per tipo di dato e scopo del trattamento, rispettando il principio di minimizzazione?
  • Stiamo adottando la pseudonimizzazione o altre misure equivalenti quando non è strettamente necessario trattare dati direttamente identificabili?
  • Come garantiamo la coerenza e la compatibilità delle nostre pratiche di trattamento dati con i requisiti del GDPR, dell'AI Act e della Clinical Trials Regulation?
  • Abbiamo procedure robuste e salvaguardie definite per l'ulteriore trattamento dei dati dei trial clinici per scopi di ricerca scientifica?

Riferimenti

Normativa nazionale: GDPR · AI Act · Clinical Trials Regulation (CTR) · European Biotech Act

Leggi l'articolo originale su EDPB ↗