03

Immagine creata con IAAI-generated image

Ricerca scientifica e GDPR: le Linee guida 1/2026 dell’EDPB fanno chiarezza, ma il puzzle non è completo

Il Comitato europeo per la protezione dei dati ha adottato il 15 aprile 2026 le Linee guida 1/2026 sul trattamento di dati personali per finalità di ricerca scientifica, poste in consultazione pubblica fino al 25 giugno 2026. Sei fattori-chiave per qualificare la ricerca, presunzione di compatibilità dell’uso secondario, apertura al c.d. broad consent: un tassello atteso da tempo. Ma le incertezze applicative sono davvero superate?

Il rapporto tra ricerca scientifica e protezione dei dati personali costituisce, da sempre, uno dei territori più accidentati del Regolamento (UE) 2016/679, c.d. GDPR. Infatti, il Legislatore europeo ha consegnato agli interpreti un regime speciale, quello degli articoli 5, paragrafo 1, lettera b), 9, paragrafo 2, lettera j), e 89, la cui concreta perimetrazione è stata rimessa, in larga parte, ai diritti nazionali, con un conseguente livello di armonizzazione tutt’altro che soddisfacente.

In tale contesto si inseriscono le Linee guida 1/2026 dell’European Data Protection Board – EDPB, “Guidelines 1/2026 on processing of personal data for scientific research purposes”, adottate il 15 aprile 2026 in versione per consultazione pubblica, aperta dal 16 aprile al 25 giugno 2026. Alla redazione ha contribuito anche l’Autorità italiana, con la partecipazione ai lavori della Vicepresidente Ginevra Cerrina Feroni e del dirigente Riccardo Acciai. Riteniamo questa sia la sede opportuna per provare a fare un po’ di chiarezza sull’impianto delle Linee guida, in attesa della versione definitiva all’esito della consultazione.

Il regime speciale della ricerca nel GDPR: le coordinate normative

Giova preliminarmente richiamare le coordinate normative. L’articolo 5, paragrafo 1, lettera b), del GDPR dispone che i dati personali siano «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”)».

A sua volta, l’articolo 89, paragrafo 1, prevede che «il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati».

Quanto alle categorie particolari di dati, l’articolo 9, paragrafo 2, lettera j), consente il trattamento ove esso sia «necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».

Infine, il Considerando 159 chiarisce che la nozione va intesa “in senso lato”, includendo, «ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati».

La nozione di ricerca scientifica: i sei fattori-chiave

Il primo nodo affrontato dall’EDPB è definitorio: cosa è, davvero, “ricerca scientifica”? Le Linee guida individuano sei fattori-chiave indicativi: l’approccio metodico e sistematico, il rispetto degli standard etici, la verificabilità e trasparenza, l’autonomia e indipendenza della ricerca, gli obiettivi perseguiti e il potenziale contributo alla conoscenza scientifica. Come si legge nel documento, le Linee guida presentano sei fattori-chiave indicativi che devono essere considerati, in aggiunta alla natura, all’ambito, al contesto e alle finalità del trattamento: se le attività di ricerca soddisfano questi sei fattori, si può presumere che costituiscano ricerca scientifica.

Il meccanismo presuntivo opera dunque in favore del titolare che soddisfi i sei fattori; in caso contrario, l’onere di giustificare la natura scientifica dell’attività grava sul titolare medesimo. Come sintetizzato dal Garante italiano, «le Linee guida chiariscono la nozione di ‘ricerca scientifica’ e precisano che – in linea di principio – i dati personali possono essere riutilizzati per tali attività, anche se raccolti inizialmente per scopi diversi, fermo restando il rispetto di una base giuridica adeguata».

L’uso secondario: la presunzione di compatibilità

Il secondo pilastro è la presunzione di compatibilità dell’ulteriore trattamento. Leggiamo infatti che l’ulteriore trattamento per finalità di ricerca scientifica si presume compatibile con la finalità iniziale della raccolta dei dati personali: pertanto, un titolare che tratti ulteriormente dati personali per finalità di ricerca scientifica non è tenuto a effettuare il test di compatibilità delle finalità previsto dal GDPR.

La precisazione ha rilievo sistematico: il riutilizzo dei dati a fini di ricerca è alleggerito dal test di compatibilità, ma non è affrancato dalla necessità di una idonea base giuridica, né dalle garanzie dell’articolo 89, paragrafo 1. La semplificazione, in altri termini, non è deregolamentazione.

Le basi giuridiche: broad consent, interesse pubblico, legittimo interesse

Sul versante delle basi giuridiche, le Linee guida offrono aperture di indubbio rilievo pratico. In primo luogo, viene riconosciuta la praticabilità del c.d. broad consent: è possibile per i titolari fondarsi sul consenso dell’interessato per raccogliere e trattare dati personali in un determinato ambito di ricerca scientifica (il cosiddetto consenso ampio), anche in combinazione con moduli di dynamic consent.

In secondo luogo, l’interesse pubblico è invocabile anche da soggetti privati, ove coperti dall’atto normativo di riferimento. In terzo luogo, quanto al legittimo interesse, l’EDPB riconosce che la ricerca scientifica può costituire un legittimo interesse ai sensi del GDPR, indipendentemente dal fatto che la ricerca sia svolta su base non profit o commerciale.

Quanto ai diritti degli interessati, le limitazioni sono circoscritte: per il diritto alla cancellazione, l’eccezione si applica soltanto se il diritto alla cancellazione rischia di rendere impossibile o di compromettere gravemente l’obiettivo di condurre la ricerca scientifica e se il titolare ha adottato garanzie adeguate.

Le garanzie dell’articolo 89: anonimizzazione, pseudonimizzazione, ambienti sicuri

Per ciò che attiene alle garanzie, le Linee guida assegnano priorità alle tecniche di minimizzazione: in linea con il principio di minimizzazione dei dati, per la ricerca scientifica dovrebbero essere utilizzati dati anonimizzati o, in alternativa, pseudonimizzati, purché le finalità del trattamento possano essere conseguite con tali dati. A ciò si aggiungono la supervisione etica indipendente, gli ambienti sicuri di trattamento, le privacy enhancing technologies e gli accordi di riservatezza, oltre all’obbligo di valutare e documentare la ripartizione dei ruoli nei protocolli multi-attore e nei partenariati pubblico-privati.

Profili critici: le incertezze che restano

Come sottolineato dalla Presidente dell’EDPB Anu Talus, la ricerca scientifica può favorire il progresso della società e migliorare la nostra vita quotidiana: le Linee guida agevolano la ricerca innovativa aiutando i ricercatori a orientarsi nel GDPR. Nonostante ciò, il quadro non può dirsi definitivamente composto, e sono almeno tre i profili che destano non poche perplessità.

In primo luogo, la mancata standardizzazione operativa delle garanzie: anonimizzazione, PET e ambienti sicuri restano richiamati in via generale, senza criteri tecnici uniformi, come rilevato dalla stampa specializzata. In secondo luogo, la frammentazione nazionale residua: è la stessa Vicepresidente Cerrina Feroni a ricordare che «la comunità scientifica […] attende da tempo indicazioni pratiche comuni su questi temi, in cui il GDPR lascia un ampio margine di manovra agli Stati membri, con un conseguente livello limitato di armonizzazione». Infine, le asimmetrie di potere nei contesti sanitari e nei partenariati pubblico-privati, che interrogano la effettiva libertà del consenso e la sostenibilità operativa del dynamic consent su larga scala.

Conclusioni

Le Linee guida 1/2026 rappresentano un tassello atteso e, per molti versi, apprezzabile: la nozione ampia di ricerca, la presunzione di compatibilità e le aperture sul broad consent restituiscono agli operatori coordinate finalmente comuni. La versione definitiva, all’esito della consultazione chiusasi il 25 giugno 2026, dirà se le osservazioni dei portatori di interessi avranno trovato ascolto.

Alla luce di quanto esposto, ci si domanda se il nuovo quadro interpretativo riuscirà a ridurre davvero la frammentazione che ancora divide i diritti nazionali, ovvero se, in assenza di criteri tecnici uniformi sulle garanzie dell’articolo 89, il margine di manovra lasciato agli Stati membri continuerà a produrre discipline disomogenee, proprio sui terreni più delicati dei dati sanitari, delle biobanche e dell’addestramento dei sistemi di Intelligenza Artificiale.

Autore: Avv. Valentina Grazia Sapuppo