Il 15 aprile 2026 l’European Data Protection Board ha adottato le Guidelines 1/2026 on processing of personal data for scientific research purposes, attualmente in consultazione pubblica fino al 25 giugno 2026. Si tratta del primo documento organico con cui l’EDPB affronta sistematicamente il trattamento dei dati personali per finalità di ricerca scientifica, colmando una lacuna interpretativa che il Regolamento (UE) 2016/679 aveva lasciato aperta sin dalla sua entrata in vigore.
Perché queste linee guida erano necessarie
Il GDPR dedica alla ricerca scientifica disposizioni sparse — il considerando 159, l’articolo 89, le eccezioni ai diritti degli interessati di cui agli artt. 17 e 21 — senza mai definire cosa si intenda per «ricerca scientifica». Il risultato è stata una frammentazione tra ordinamenti nazionali che ha penalizzato la circolazione dei dati tra istituti europei e la competitività del sistema della ricerca europeo. Le Guidelines 1/2026 nascono per ricondurre a unitarietà una materia governata da discipline eterogenee e prassi divergenti.
Il modello presuntivo a sei fattori
Il cuore delle Linee guida è l’approccio sostanzialistico adottato per qualificare un’attività come «ricerca scientifica» ai fini GDPR. In assenza di definizione normativa — anche per effetto dell’eliminazione della definizione nel testo aggiornato del Regolamento Digital Omnibus — l’EDPB individua sei fattori indicativi cumulativi: l’approccio metodico e sistematico; il rispetto di standard etici riconosciuti; la verificabilità e trasparenza dei risultati; l’autonomia e indipendenza dei ricercatori; la finalità di accrescimento della conoscenza collettiva; il contributo potenziale al sapere esistente. La loro sussistenza genera una presunzione di scientificità; la carenza di anche uno solo di essi obbliga il titolare a giustificare il ricorso alle norme di favore. Questa impostazione consente, in via di principio, di ricomprendere anche le attività di soggetti privati — imprese farmaceutiche, startup tecnologiche — purché le condizioni siano soddisfatte, ma non risolve i casi limite dell’epidemiologia post-marketing o della ricerca in scienze sociali commissionata a consulenti privati.
Basi giuridiche, presunzione di compatibilità e EHDS
Le Linee guida confermano la pluralità delle basi giuridiche applicabili ex art. 6 GDPR e ammettono, con un’apertura di rilievo, il ricorso al legittimo interesse per la ricerca scientifica qualificata come attività di interesse generale. Sul fronte del trattamento ulteriore, viene chiarito che la presunzione di compatibilità ex art. 5, par. 1, lett. b) GDPR — che consente di trattare i dati per finalità di ricerca senza il test di compatibilità di cui all’art. 6, par. 4 — non esonera dall’obbligo di individuare un’autonoma base giuridica per il trattamento secondario. Una base che potrebbe essere rinvenuta, secondo l’EDPB, nell’art. 53, par. 1, lett. e) del Regolamento (UE) 2025/327 sullo Spazio Europeo dei Dati Sanitari: un punto di raccordo esplicito tra le Guidelines e il nuovo ecosistema normativo europeo dei dati che merita attenzione operativa.
Broad consent e dynamic consent
L’impianto più innovativo dal punto di vista pratico riguarda la gestione del consenso. Le Linee guida legittimano il broad consent — il consenso espresso per area di ricerca o per obiettivo atteso, anche laddove le finalità specifiche non siano ancora determinate al momento della raccolta — accompagnandolo da garanzie strutturali su due livelli: trasparenza continuativa verso gli interessati (pagine web dedicate, newsletter periodiche) e supervisione indipendente attraverso organismi che includano rappresentanti dei partecipanti, esperti scientifici e il DPO. Il dynamic consent, che consente aggiornamenti progressivi delle scelte dell’interessato tramite strumenti digitali, viene valorizzato come modello evolutivo per i progetti longitudinali, benché la sua sostenibilità operativa su larga scala — biobanche nazionali, registri di patologia — rimanga una questione aperta che le Linee guida non affrontano adeguatamente.
Cosa rimane irrisolto
L’analisi critica non può trascurare le lacune più significative. L’assenza di standard tecnici condivisi per la valutazione della robustezza dell’anonimizzazione — l’EDPB rinvia alle proprie Guidelines 05/2022 e alle pubblicazioni ENISA senza indicare soglie o parametri specifici — è la criticità più grave, particolarmente nei dataset che integrano dati genomici, imaging biomedico e dati clinici strutturati. Il coordinamento con l’AI Act è quasi assente: le Linee guida non affrontano il training di sistemi di intelligenza artificiale su dati personali per finalità di ricerca, nonostante l’art. 2, par. 6 del Regolamento (UE) 2024/1689 preveda una deroga per le attività di ricerca scientifica. Infine, la questione dell’allocazione della responsabilità nei consorzi multicentrici transfrontalieri — pur avanzata rispetto alla prassi previgente, con il richiamo alle sentenze Fashion ID e Wirtschaftsakademie — lascia aperte le asimmetrie regolamentari tra contitolari soggetti a ordinamenti nazionali diversi.
Implicazioni operative per i DPO
Per chi opera nelle strutture sanitarie e negli istituti di ricerca del SSN — dove ricerca clinica, cura del paziente e vincoli del diritto pubblico si intrecciano — le Linee guida impongono un aggiornamento su tre fronti: la documentazione della qualificazione scientifica dell’attività secondo i sei fattori indicativi, la revisione dei meccanismi di consenso nei trattamenti longitudinali, e la verifica dell’adeguatezza dell’architettura di governance nelle infrastrutture di dati (repository, biobanche, data lake clinici). Il termine del 25 giugno 2026 per la presentazione delle osservazioni in sede di consultazione pubblica è un’opportunità concreta per contribuire al perfezionamento di un documento che, nella sua versione definitiva, è destinato a diventare il principale riferimento interpretativo per la ricerca scientifica in Europa.
