[doc. web n. 9898815]

Provvedimento del 27 aprile 2023

Registro dei provvedimenti
n. 170 del 27 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Premessa

E’ stato presentato un reclamo a questa autorità dal legale rappresentante pro tempore dell’Associazione dell’Identità Ogliastrina e della Barbagia di Seulo (di seguito Associazione IOBS), in virtù del mandato conferitogli da un’interessata che ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali da parte della Società Tiziana Life Sciences PLC e della società Longevia (di seguito anche solo le Società), in quanto  avrebbero omesso e ometterebbero tuttora di fornire l’informativa e di acquisire il consenso degli interessati al trattamento dei dati personali, ivi inclusi i dati genetici, acquisiti a seguito del fallimento della società Shar.Dna S.p.A. per scopi di ricerca scientifica, paventando una presunta violazione degli artt. 13, 16 e 90 del Codice, nella versione antecedente la riforma del 2018, degli artt. 9, 14 del Regolamento e dell’art. 2-septies del Codice nella versione successiva alla riforma del 2018 (nota del 29 giugno acquisita agli atti dell’Ufficio in data 1° luglio 2022).

Il reclamante, ha evidenziato in particolare che: 

“La biobanca genetica oggetto del presente reclamo è nata nei primi anni del 2000 da un’intesa tra il Consiglio Nazionale delle Ricerche e la società Shar.Dna S.p.A. (...)”;

la richiamata biobanca contiene “circa 230.000 campioni biologici, informazioni cliniche, biochimiche, demografiche e genealogiche di circa 11.770 individui, residenti in 10 paesi della Provincia dell’Ogliastra in Sardegna (Baunei, Escalaplano, Loceri, Perdasdefogu, Seui, Seulo, Talana, Triei, Urzulei, Ussassai). Per ogni individuo sono presenti (anche in maniera incompleta) DNA, plasma, siero e buffy coat”;

“Nel 2012, in seguito al fallimento della società Shar.Dna, è stata attivata la procedura per la vendita fallimentare, al termine della quale, il 28 giugno 2016, [...], è stato venduto il ramo d’azienda comprendente la biobanca genetica ogliastrina, della quale Shar.Dna è stata ritenuta titolare, alla società Tiziana Life Sciences con sede a Londra”;

“Con atto pubblico del 5 luglio 2016 [...] è stato, quindi, disposto il trasferimento del complesso aziendale di Shar.Dna alla società Tiziana Life Sciences. Nella stessa data è stata costituita dalla Tiziana Life la Longevia Genomics s.r.l., con sede in Cagliari. Successivamente, in data 19 luglio 2016 le acquirenti del fallimento hanno ottenuto la disponibilità dell’oggetto della vendita”;

il contratto di vendita prevedeva, in particolare, che “l’utilizzazione dei campioni biologici e, comunque, il materiale di ricerca trasferito sarà sempre subordinato alla verifica, da parte dell’acquirente, dell’esistenza di un consenso del soggetto donatore, ovvero alla richiesta ed ottenimento di tale consenso, ove previsto dalle leggi vigenti”;

“è dal luglio 2016 (...), che la multinazionale Tiziana Life e la sua emanazione la Longevia Genomics non hanno mai adempiuto ai propri doveri di trasparenza poiché non hanno mai provveduto ad informare i donatori dell’avvenuto mutamento di titolarità nel trattamento dei dati”;

il Garante, con il provvedimento del 6 ottobre 2016, ha disposto la misura temporanea del blocco del trattamento dei dati personali contenuti nella biobanca, con conseguente obbligo a carico di Tiziana Life PLC (...) “di astenersi da ogni ulteriore trattamento dei dati degli interessati e utilizzo dei campioni biologici ad eccezione delle sole operazioni di trattamento necessarie per:

garantire un’adeguata conservazione dei dati e dei campioni della biobanca, allorché, venute meno le esigenze cautelari, venga acquisita la disponibilità di questi ultimi;

ricontattare gli interessati, al fine di rendere loro un’idonea informativa e raccogliere una nuova manifestazione di consenso nei termini illustrati nel presente provvedimento;

fornire adeguato riscontro alle eventuali richieste degli interessati volte a esercitare i diritti in materia di protezione dei dati personali”;

“Il Tribunale cagliaritano [...] con la sentenza n. 1569/2017 ha accolto il ricorso di Tiziana Life e, conseguentemente, ha annullato il provvedimento” del Garante;

il Garante ha promosso ricorso per Cassazione che, con ordinanza del 24 marzo 2021, ha accolto il secondo motivo di ricorso principale, concernente in particolare gli obblighi di acquisire il consenso degli interessati a seguito del mutamento della figura del titolare del trattamento e di fornire l’informativa agli interessati, cassando la richiamata sentenza del Tribunale di Cagliari e rinviando nuovamente al giudice del merito;

parallelamente, alcuni interessati, anche grazie al supporto dell’Associazione IOBS, hanno presentato reclamo all’Autorità per revocare il consenso a Tiziana Life Sciences PLC al trattamento dei dati raccolti presso la biobanca;

“Con le note del 30 settembre e del 6 ottobre 2017 [...] Tiziana Life Sciences PLC ha comunicato di non potere dare seguito, allo stato attuale, alle istanze avanzate dai ricorrenti tenuto conto del fatto che - nell´ambito di un’indagine penale condotta dalla competente autorità giudiziaria per fatti antecedenti all’acquisizione della biobanca da parte della stessa - è stato ordinato il sequestro di parte dei beni oggetto di richiesta (nello specifico i campioni biologici ed i consensi informati) e che pertanto la società risulterebbe impossibilitata ad effettuare qualsiasi operazione sulla banca dati stessa”;

al riguardo il Garante “con il provv. 21 dicembre 2017, n. 561 [doc. web. n. 7465896] ha riconosciuto il diritto di revocare in qualsiasi momento il consenso – ai sensi dell’art. 90 del Codice, del punto 6 dell’Autorizzazione generale n. 8 del 15 dicembre 2016, nonché dell´art. 13 della Raccomandazione del Consiglio d´Europa CM/Rec(2016)6 in materia di ricerca sui materiali biologici di origine umana –, così come la facoltà di aderire nuovamente al progetto di ricerca in un momento successivo mediante il rilascio di una nuova dichiarazione” ordinando a “Tiziana Life, ai sensi dell´art. 150, comma 2, del Codice, “di annotare l´opposizione all´ulteriore utilizzo dei dati che riguardano i ricorrenti, provvedendo, ove necessario, previa autorizzazione dell´a.g.:

1. a trasmettere loro quelli eventualmente in possesso e non soggetti a sequestro;

2. adottare ogni misura idonea a garantire i diritti degli interessati riguardo ai dati oggetto di sequestro, provvedendo, una volta revocato quest’ultimo da parte dell’Autorità giudiziaria, alla loro trasmissione, informandone tempestivamente il Garante”;

da ultimo è stato rappresentato che “nell’ambito dei procedimenti penali rg. 563/2019 e 447/2017 (relativi ad alcune fattispecie delittuose non rilevanti ai fini del presente reclamo e comunque ritenute dai Giudici del Tribunale di Lanusei non riconducibili alla multinazionale Tiziana Life e alla sua emanazione italiana Longevia Genomics), il Tribunale di Lanusei ha recentemente nominato l’Associazione IOBS, nella persona del legale rappresentante il dott. Flavio Cabitza, custode provvisorio della biobanca ogliastrina con provvedimento del 17.02.2022 del GUP di Lanusei [...]. La nomina a custode provvisorio, ora in scadenza poiché connessa ai procedimenti penali di prossima definizione [...]”.

Su tali basi, nel reclamo è stata lamentata l’illegittimità dell’inerzia delle predette Società rispetto alla raccolta del consenso degli interessati e all’obbligo di rendere l’informativa ed è stata chiesta al Garante l’adozione di “ogni opportuno provvedimento che ritenesse idoneo e, in particolare imporre a Tiziana Life Sciences e Longevia Genomics la limitazione definitiva del trattamento dei dati contenuti nella biobanca ogliastrina, incluso il divieto di trattamento ex art. 58, §2, lett. f) del Regolamento”.

2. L’attività istruttoria e procedimentale

Con riferimento al reclamo presentato, l’Ufficio ha avviato un’istruttoria preliminare, rivolgendo alle predette Società una richiesta di informazioni ai sensi dell’art. 157 del Codice, al fine di conoscere in particolare:

- il ruolo di ciascuna Società rispetto ai trattamenti dei dati personali e genetici contenuti nella richiamata biobanca (artt. 24, 26, 27 e 28 del Regolamento);

- tenuto conto che il provvedimento di blocco del Garante del 2016 non ha ab origine escluso la possibilità per il titolare di avviare le operazioni di trattamento necessarie, in particolare, per ricontattare gli interessati, al fine di rendere loro un´idonea informativa e raccogliere una nuova manifestazione di consenso, se tali attività sono state avviate e, in caso positivo, in che termini, con quali modalità e a partire da quando; in caso negativo, le ragioni per le quali esse non sono state ancora svolte (nota del 18 luglio 2022 prot. n. 38684).

Con nota congiunta del 20 settembre 2022 le società Tiziana Life e Longevia, con dichiarazioni della cui veridicità rispondono penalmente ai sensi dell’art. 168 del Codice, hanno fornito riscontro alla richiamata richiesta di informazioni, evidenziando quando segue.
In via prioritaria, è stata fornita “una panoramica dei fatti e degli eventi procedurali che hanno interessato la biobanca acquisita a seguito della vendita fallimentare di Shar.Dna. S.p.A (la Biobanca) e i relativi documenti”.

In particolare, è stato rappresentato che “a causa delle vicende giudiziarie che si sono verificate a partire da poche settimane dall'acquisizione della Biobanca, Tiziana Life Sciences non è mai riuscita ad accertare compiutamente il contenuto della Biobanca (compresi i campioni e la relativa documentazione informatica e cartacea) di cui ha acquisito formalmente la proprietà. Infatti, per Tiziana Life Sciences è stato impossibile avviare qualsiasi attività sui dati e quindi definire oggetto, ambito e finalità del trattamento, ossia le informazioni di base necessarie per redigere un'informativa sulla privacy completa e conforme alla normativa vigente”. La Società ha rappresentato che tale impossibilità perdura tutt’ora.

È stato evidenziato inoltre che “Longevia, costituita in origine per diventare la società capofila del progetto di ricerca sulla Biobanca, non ha mai iniziato la sua attività, in quanto Tiziana Life Sciences, nell’impossibilità di valutare il contenuto della Biobanca, e di porre in essere gli accertamenti necessari, non ne ha mai conferito la proprietà a Longevia. Di conseguenza, Longevia non è mai stata in grado, neanche potenzialmente, di accedere ai dati personali della Biobanca o di svolgere altre attività di trattamento”.

Ricostruendo tutta la vicenda giudiziaria che ha riguardato la biobanca, è stato rappresentato, in particolare, che “il 28 giugno 2016, Tiziana Life Sciences è stata dichiarata aggiudicataria della vendita fallimentare che riguardava i beni di Shar.Dna. Fra questi, risultava la Biobanca di cui in discussione, che era stata creata nell'ambito di un progetto di ricerca realizzato in collaborazione con il Consiglio Nazionale delle Ricerche. Ai sensi dell'atto di vendita, la Biobanca era costituita da:

a) circa 230.000 campioni biologici prelevati da circa 11.700 donatori (al momento della vendita, i campioni si trovavano nel Parco Genetico dell'Ogliastra, nel comune di Perdasdefogu. Questi campioni sono di seguito denominati “Biobanca dell'Ogliastra”);

b) le dichiarazioni di consenso informato dei donatori al trattamento dei loro dati personali (al momento della vendita, i moduli di consenso informato si trovavano presso il Parco Polaris, a Pula);

c) le valutazioni mediche dei donatori, la loro storia clinica e familiari;

d) i risultati degli esami e delle visite specialistiche effettuate sui donatori;

e) la ricostruzione della genealogia dei donatori;

f) la genotipizzazione dei donatori.

Poco dopo l'acquisto della Biobanca, Tiziana è stata coinvolta in un procedimento penale relativo al presunto furto di 14.000 campioni della Biobanca”.

Nello specifico, è stato rammentato che:

“l’8 e il 13 settembre 2016 la Procura della Repubblica di Lanusei ha emesso due decreti di sequestro relativi ai campioni della Biobanca conservati presso il Parco Polaris e il Parco Genetico dell'Ogliastra, insieme alla relativa documentazione. Il sequestro, eseguito il 14 settembre 2016, ha riguardato computer, documenti, due congelatori contenenti campioni biologici (circa 32.750) rinvenuti nel Parco Polaris oltre a locali, archivi, laboratori, due magazzini contenenti 17 congelatori (-30°) e 10 congelatori (-80°) in cui erano custoditi campioni biologici conservati nel Parco Genetico dell'Ogliastra.

Il 17 settembre 2016 la Procura della Repubblica di Lanusei ha emesso un terzo decreto di sequestro dei moduli di consenso informato firmati dai donatori conservati nel Parco Polaris11. Il sequestro è stato eseguito il 20 e 21 settembre e ha riguardato 9.376 moduli di consenso informato.

Il 14 settembre 2017, Tiziana Life Sciences ha presentato alla Procura della Repubblica di Lanusei un'istanza di revoca dei provvedimenti di sequestro precedentemente emessi in merito al materiale della Biobanca. Il 10 ottobre 2017, il Pubblico Ministero ha respinto l'istanza13.

Il 31 ottobre 2017, la Procura della Repubblica di Lanusei ha emesso un quarto decreto di sequestro relativo alla banca dati della Biobanca ubicata presso il Parco Polaris.

Il 23 gennaio 2018, la Procura della Repubblica di Lanusei ha emesso un quinto decreto di sequestro relativo a materiale cartaceo e biologico (3 congelatori) di pertinenza del “Progetto Ogliastra” e ubicato presso la UOS-IRGB di Sassari15.

Il 24 gennaio 2018 sono stati sottoposti a sequestro gli uffici presi in locazione da Longevia presso il Parco Polaris.

Il 18 febbraio 2022, essendo ancora in vigore i sequestri eseguiti in seguito ai decreti emessi l'8 e il 13 settembre 2016, il Tribunale di Lanusei ha nominato il Dott. Cabitza custode ad interim dei materiali della Biobanca ubicati nel Parco Genetico dell'Ogliastra.

Per quanto a conoscenza delle Società, i sequestri di cui sopra sono attualmente in vigore”.

Le Società hanno inoltre elencato gli “altri procedimenti riguardanti la liceità delle attività di trattamento dei dati personali facenti parte della Biobanca”, specificando che essi “hanno ulteriormente impedito a Tiziana Life Sciences di svolgere qualsiasi attività sui campioni e sui relativi documenti” e in particolare che:

dal 26 giugno 2016 al 21 giugno 2017, Tiziana Life Sciences è stata coinvolta in un procedimento avviato dal Parco Genos che contestava la legittimità del trasferimento della biobanca da Shard.Dna a Tiziana Life Sciences. Il procedimento si è concluso con il decreto n. 7359/2016, emesso dal Tribunale di Cagliari, che ha accertato la legittimità della cessione della Biobanca;

dal 22 luglio 2016 al 7 ottobre 2021, Tiziana Life Sciences è stata coinvolta in un procedimento dinanzi a questa Autorità, che ha disposto il blocco immediato del trattamento dei dati personali contenuti nella Biobanca con la sola eccezione delle attività di trattamento necessarie a: (i) garantire l'adeguata conservazione dei dati e dei campioni biologici; (ii) contattare i donatori per fornire loro una nuova informativa e raccogliere nuovamente il loro consenso al trattamento; (iii) fornire un adeguato riscontro alle richieste di esercizio dei diritti da parte degli interessati (il “Provvedimento di Blocco”);

tra il 30 agosto 2017 e il 21 dicembre 2017, Tiziana Life Sciences è stata coinvolta in un procedimento dinanzi a questa Autorità avente ad oggetto il riscontro alle richieste degli interessati promosse dall'Associazione IOBS. Dopo l'adozione del provvedimento n. 561 del 21 dicembre 2017, Tiziana Life Sciences ha adottato tutte le misure necessarie per dare seguito alle richieste degli interessati, comprese quelle inviate in un secondo momento dall'Associazione IOBS, che hanno riguardato un totale di 619 interessati.

Le Società, in relazione al ruolo di ciascuna rispetto ai trattamenti dei dati personali e genetici contenuti nella richiamata biobanca, hanno dichiarato che “Tiziana Life Sciences è l'unico soggetto che può essere qualificato come titolare del trattamento, mentre Longevia non ha assunto alcun ruolo che rientri nell'ambito di applicazione degli artt. 24, 26, 27 e 28 del GDPR. Infatti, la Biobanca non è mai stata ceduta a Longevia e, se anche fossero revocati i sequestri, Tiziana Life Sciences è l'unico soggetto legittimato a esercitare qualsiasi potere decisionale (fermo restando che, come spiegato in precedenza, il susseguirsi sopra descritto dei provvedimenti di sequestro ha materialmente impedito a Tiziana Life Sciences di compiere qualsiasi attività sulla Biobanca)”.

Approfondendo tale aspetto, è stato evidenziato da una parte che “Longevia non è mai divenuta proprietaria e non ha mai potuto analizzare i materiali che fanno parte della Biobanca. Pertanto, non è mai stata in grado di effettuare il trattamento dei dati oggetto del Reclamo” e dall’altra che “[...], Tiziana Life Sciences è l'unica società proprietaria della Biobanca ed è quindi l’unica che potrebbe qualificarsi come titolare del trattamento dei dati oggetto del Reclamo. Tuttavia, a causa dei numerosi provvedimenti di sequestro intervenuti a poche settimane dalla gara d'appalto, Tiziana Life Sciences non è mai stata in grado di valutare appieno la composizione della Biobanca, né di svolgere alcuna attività o di esercitare alcun potere decisionale sulla stessa” [...] essa quindi “non è mai stata in grado di definire i dettagli del trattamento nella misura necessaria a redigere una informativa completa, che è il primo e più essenziale elemento volto a garantire un consenso pienamente informato da parte degli interessati”.

Poste tali premesse, nel riscontro è stato chiarito che quanto riferito in ordine agli adempimenti richiesti dal Garante nel provvedimento del 2016 riguarda esclusivamente la società Tiziana Life.

Tiziana Life ha rappresentato, in particolare, che “le vicende processuali illustrate in precedenza hanno di fatto impedito a Tiziana Life Sciences di effettuare qualsiasi attività di trattamento diversa dalla mera conservazione di quei pochi documenti non sottoposti a sequestro, comprese le attività che necessariamente precedono la compilazione di un'accurata informativa, ossia la valutazione della qualità dei campioni biologici. Di fatto, tutti i suddetti decreti di sequestro non sono mai stati revocati”.

Nello specifico, è stato rappresentato che, “da un lato l'impossibilità di accertare l'effettivo contenuto della Biobanca e del relativo database (ad esempio, effettuando una due diligence) impedisce a Tiziana Life Sciences di identificare i dati trattati e le loro caratteristiche. Di conseguenza, diventa anche impossibile determinare con chiarezza sia le modalità sia le finalità del trattamento che Tiziana Life Sciences effettuerà su questi dati. D'altra parte, lo stato dei campioni è particolarmente incerto per il fatto che la Biobanca è stata creata diversi anni fa, con tecniche e approcci che potrebbero anche rivelarsi obsoleti e quindi incompatibili con gli attuali progetti intrapresi da Tiziana Life Sciences (che, nel frattempo, ha subito un sostanziale cambiamento nella struttura della sua gestione) e con gli strumenti di cui dispone attualmente”.

È stato evidenziato, inoltre, che “gli unici beni in possesso di Tiziana Life Sciences sono pochi documenti relativi alla Biobanca e una copia del database digitale, contenente informazioni parziali sugli interessati e accessibile esclusivamente con l'aiuto di esperti informatici specializzati. Infatti, il database è stato progettato secondo gli standard tecnici esistenti negli anni '90 ed è quindi accessibile solo da esperti che seguono procedure molto specifiche necessarie a preservarne l'integrità. In ogni caso, sia i documenti sia il database non hanno alcuna utilità senza i campioni a cui si riferiscono e non possono, da soli, consentire a Tiziana Life Sciences di definire i dettagli del trattamento dei dati”.

La Società ha sostenuto, inoltre, che nel provvedimento di blocco, il Garante ha espressamente escluso dall'ambito di applicazione del suddetto provvedimento (quindi consentendole) le attività connesse alla mera archiviazione e conservazione della biobanca.

È stato rappresentato, infine che “In conclusione, la presentazione di un nuovo modulo di consenso agli interessati - se effettuata in queste circostanze - rischierebbe di esporre Tiziana Life Sciences a gravi sanzioni per violazione degli obblighi previsti dal GDPR”.

Sulla base degli elementi acquisiti nell'ambito dell'istruttoria preliminare, l’Ufficio- con atto del 22 novembre 2022 (prot. n. 59971), ha avviato, ai sensi dell’art. 166, comma 5 del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Società Tiziana Life Sciences PLC invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

L’Ufficio non ha avviato alcun procedimento ai sensi dell’art. 166 del Codice nei confronti della società Longenvia Genomics srl in quanto, dall’accertamento preliminare compiuto sulla base degli elementi acquisiti,  delle dichiarazioni rese dalle Società, dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, è stato rilevato che la società Tiziana Life è l’unico titolare del trattamento dei dati personali anche genetici e relativi alla salute acquisiti dalla fallita società Shar.Dna (la biobanca) (art. 4, n. 7 e 24 del Regolamento), mentre la società Longevia non ha mai svolto alcun ruolo rispetto ai dati personali di cui trattatasi né ha posto in essere trattamenti correlati alla conservazione dei dati e dei campioni biologici.

Con il predetto atto l’Ufficio ha rilevato che la società Tiziana Life, in qualità di autonomo titolare del trattamento, anche successivamente al richiamato provvedimento di blocco del 2016, non ha provveduto, né ad informare gli interessati ai quali si riferiscono i dati personali anche genetici e relativi allo stato di salute, raccolti nella biobanca, ai sensi degli articoli 13 e 14 del Regolamento, né tantomeno ad acquisirne il consenso, anche alla luce del principio di diritto affermato dalla Corte di Cassazione nella sopra richiamata ordinanza, ovvero ad individuare un idoneo presupposto giuridico per il loro trattamento.

Su tali basi, l’Ufficio ha quindi accertato che il trattamento di dati personali in questione sia stato effettuato da Tiziana life:

in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e di responsabilizzazione, in violazione dell’art. 5, par. 1, lett. a) e par. 2 del Regolamento;

in assenza di un idoneo presupposto giuridico, in violazione dell’art. 6 e 9, del Regolamento e 110 del Codice;

in violazione degli obblighi informativi di cui agli artt. 13 e 14 del Regolamento.

3. Le memorie difensive

Con note del 19 dicembre 2022 e del 27 gennaio 2023, la Società ha fatto pervenire le proprie memorie difensive, chiedendo altresì di essere sentita in audizione, ai sensi dell’art. 166, comma 5 del Codice. Nei richiamati atti con specifico riferimento alle contestazioni mosse dall’Ufficio nell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5 del Codice, la Società, confermando le posizioni sopra richiamate, ha rappresentato in particolare quanto segue.

La Società ha ribadito che “non ha mai potuto accertare il contenuto della Banca Dati in quanto non ne ha mai avuto la completa disponibilità. Tiziana Life Sciences avrebbe dovuto effettuare dei controlli incrociati tra tutti gli elementi che la compongono (campioni biologici, consensi informati, documenti sui donatori e archivio digitale) per determinare gli elementi essenziali del trattamento (come, ad esempio, la natura dei dati trattati o le finalità del trattamento)”.

La Società ha sottolineato come “Le complesse vicende processuali [...] hanno determinato una situazione unica nel suo genere, in cui la proprietà formale di una banca dati e il controllo effettivo della stessa sono in capo a soggetti diversi”.

La Società ha quindi ripercorso, in ordine cronologico, le vicende che hanno interessato la banca dati e i campioni in essa contenuti già evidenziate al precedente punto 2. In aggiunta a quanto già sopra riportato, Tiziana ha rappresentato in particolare che “Sebbene l’atto di vendita prevedesse la consegna della Banca Dati entro 15 giorni dalla sua conclusione, Tiziana Life Sciences ha concordato con il curatore fallimentare di posticipare la consegna dei campioni biologici in modo da poter adottare le misure necessarie per garantire una corretta conservazione dei beni”.

Il 14 settembre 2016, vi è stato il sequestro dei campioni conservati al Parco Scientifico Polaris di Sardegna Ricerche e al Parco Genetico dell'Ogliastra e nella medesima data “la Procura della Repubblica di Lanusei ha emesso un provvedimento di sequestro relativo ai campioni biologici conservati presso l’Ospedale Civile di Cagliari. Il 23 gennaio 2018, la Procura della Repubblica di Lanusei ha emesso un ulteriore provvedimento di sequestro relativo a materiale biologico conservato in 3 congelatori presso l’istituto CNR di Sassari”.

La Società ha specificato che i moduli di consenso sono stati sequestrati insieme ai campioni biologici. Alcuni altri moduli di consenso informato sono rimasti in possesso di Tiziana Life Sciences fino al 20 e 21 settembre 2016, data in cui furono sequestrati. Il sequestro ha riguardato 9.376 moduli di consenso informato.

“Altri documenti erano conservati presso la sede di Longevia Genomics S.r.l. (“Longevia”) al Parco Polaris: i documenti in questione erano soggetti al sequestro a partire dall’8 settembre 2016, in ragione del provvedimento di sequestro generale emesso dalla Procura della Repubblica di Lanusei rispetto alla Banca Dati nel suo complesso. Successivamente, gli stessi uffici sono stati oggetto di sequestro il 24 gennaio 2018. [...]. Nonostante la revoca del sequestro rispetto agli uffici di Longevia, Tiziana Life Sciences non è mai rientrata in possesso dei documenti contenenti informazioni sui donatori, continuando a permanere il provvedimento di sequestro generale dell’8 settembre 2016”.

Merita tuttavia evidenziare che la Società ha ulteriormente chiarito che “La Banca Dati comprendeva anche un archivio digitale memorizzato sui server di Shar.DNA e accessibile solo tramite un software dedicato. Il curatore fallimentare fece realizzare una copia di backup dell’archivio digitale di SharDNA, contenuta in due hard disk criptati che furono consegnati a Tiziana Life Sciences”. Tale archivio digitale è stato oggetto di sequestro (a cura della Procura della Repubblica di Lanusei) in data 31 ottobre 2017. “La copia dell’archivio digitale contenuta nei due hard disk è attualmente in possesso di Tiziana Life Sciences, tuttavia [...] il loro solo contenuto (nell’impossibilità di ottenere la piena conoscenza dei dati contenuti nei materiali sopra considerati) non consentirebbe a Tiziana Life Sciences di fornire un’informativa completa e di ottenere un consenso informato da parte degli interessati in quanto rifletterebbe una conoscenza parziale e inaccurata del materiale della Banca Dati”.

Secondo la Società quindi l’impossibilità di avere accesso e conseguentemente piena contezza dei dati che fanno effettivamente parte della banca dati avrebbe precluso a quest’ultima la possibilità concreta di informare adeguatamente gli interessati sui trattamenti da svolgere (non essendo in grado di definirli) e pertanto di acquisirne un valido consenso. Ciò anche tenuto conto che Tiziana Life è una struttura multinazionale con processi decisionali fisiologicamente lunghi, che avrebbe dovuto effettuare dei controlli puntuali per verificare quali dei dati e campioni fossero effettivamente utilizzabili, nonché considerato il brevissimo tempo (due mesi) intercorso tra l’immissione in possesso di (solo alcuni dei) beni che compongono il compendio fallimentare (5 luglio 2016) e il “primo provvedimento sulla banca dati (14 settembre 2016)”.

In particolare, è stato evidenziato che “L’accesso all’archivio digitale poteva essere effettuato solo utilizzando il software dedicato che rendeva necessario l’ausilio di un esperto informatico in grado di utilizzarlo. Di conseguenza, prima di poter procedere ai controlli incrociati di cui si è detto, Tiziana Life Sciences ha dovuto impiegare tempo e risorse per la ricerca di un esperto informatico in grado di utilizzare il software. Anche nel 2018, al fine ottemperare alle richieste degli interessati promosse dall’Associazione IOBS, Tiziana Life Sciences ha dovuto cercare e avvalersi dell’ausilio di un tecnico informatico, essendo l’unico modo per accedere ai dati contenuti nell’archivio digitale senza rischiare di comprometterne l’integrità. Inoltre, essendo all’epoca in corso un procedimento penale, a parere di Tiziana Life Sciences vi era un elevato rischio che qualsiasi attività sui dati potesse essere interpretata come un trattamento illecito e penalmente rilevante”.

La Società ha ritenuto quindi che se avesse reso l’informativa, essa “[...] sarebbe stata parziale, potenzialmente inaccurata, e in ogni caso non sufficientemente dettagliata per consentire agli interessati di esprimere un consenso granulare, specifico e informato” e che “anche fornire un’informativa privacy contenente un riferimento generico ai dati personali raccolti nel contesto della ricerca precedentemente intrapresa da SharDNA sarebbe stato fuorviante per gli interessati [...]”.

Sotto altro profilo, secondo il titolare del trattamento, l’Autorità sosterrebbe “che Tiziana Life Sciences avrebbe dovuto fornire agli interessati un’informativa sulla base dell’“intenzione” di trattare tali dati per scopi scientifici. Tuttavia, un simile obbligo non può essere ricavato dal GDPR: piuttosto, il GDPR richiede che i titolari del trattamento conoscano, pianifichino, progettino le attività di trattamento sulla base di una conoscenza approfondita dei dati in loro possesso e questo non è mai stato il caso di Tiziana Life Sciences. In realtà, ciò è palesemente in contrasto con la più recente casistica di codesta Autorità in merito al contenuto dell’informativa, secondo la quale l’informativa deve includere solo le attività di trattamento effettivamente svolte dal titolare del trattamento (e non quelle potenziali)”.

Tiziana ha inoltre evidenziato che “nel corso degli anni [...] ha avuto diversi contatti con codesta Autorità [...] e in nessuna occasione codesta Autorità ha richiesto a Tiziana Life Sciences di fornire agli interessati delle informative nelle more della definizione del procedimento penale e della revoca dei sequestri sui campioni e sui moduli di consenso”.

La condizione di sostanziale e incolpevole ignoranza rispetto al contenuto della banca dati perdura tuttora e quindi perdurerebbe per Tiziana Life l’impossibilità di informare gli interessati ma ancor prima di “determinare con chiarezza sia le modalità che le finalità del trattamento che Tiziana Life Sciences avrebbe effettuato su questi dati”.

Tali circostanze hanno determinato anche l’impossibilità per Tiziana Life Sciences di effettuare attività di ricerca.  La Società ha precisato, infatti, di essersi limitata a effettuare la conservazione “degli scarsi e parziali [...] dati in suo possesso, oltre che per annotare le revoche dei consensi di alcuni interessati”.

La Società ha inoltre evidenziato come il suo “comportamento prudente” sia stato determinato dalla concomitanza con il procedimento penale che ha coinvolto “fino all’11 novembre 2020, anche l’allora direttore finanziario di Tiziana Life Sciences, il dott. Tiziano Lazzaretti. Anche assumendo che potesse essere possibile accedere, anche in parte, alla Banca Dati, e che ciò potesse essere stato utile per sviluppare un progetto di ricerca (affermazione che, come illustrato, non corrisponde alla realtà), un accesso anche solo a una parte della Banca Dati avrebbe rischiato di compromettere ancora di più la posizione, dal punto di vista penale, delle persone coinvolte. In altre parole, in buona fede Tiziana Life Sciences non ha effettuato alcuna attività sulla Banca Dati al fine di preservare la propria posizione e quella dei soggetti coinvolti nel procedimento penale in corso, e non con lo scopo di nascondersi o di aggirare il dettato normativo”.

La Società ha rappresentato, inoltre, che “Secondo un principio fondamentale del diritto civile italiano, Tiziana Life Sciences non è tenuta ad adempiere un’obbligazione, prevista dalla legge o da un provvedimento dell’autorità giudiziaria, che sia resa impossibile da eventi sopravvenuti (nello specifico, i provvedimenti di sequestro). Infatti, secondo il combinato disposto degli artt. 1218 e 1256 del Codice civile, l’obbligazione si estingue quando diventa impossibile per una causa non imputabile alla parte che è tenuta ad eseguirla. Pertanto, Tiziana Life Sciences non può essere ritenuta responsabile per la violazione dell’art. 110 del Codice Privacy (sia nella formulazione vigente nel 2016 che in quella attuale) o dell’art. 14 GDPR in quanto gli obblighi ivi previsti sono oggettivamente impossibili da adempiere per le ragioni sopra esposte”.

La Società ha ribadito, quindi, che “Tiziana Life Sciences non ha mai potuto esercitare alcun potere decisionale sul materiale acquistato e poi sequestrato, svolgendo di fatto il ruolo di titolare del trattamento solo a livello formale. Tuttavia, il concetto di titolarità “formale” è in contrasto con l’approccio sostanziale che ispira l’applicazione della normativa in materia di protezione dei dati”.

Su tali presupposti, la Società he ritenuto inoltre che “la presunta condotta illecita relativa al trattamento per finalità di ricerca deve quindi essere valutata alla luce del quadro normativo applicabile nel 2016. Infatti, l’unica attività di trattamento svolta per finalità di ricerca è stata il trasferimento della Banca Dati, mentre successivamente al trasferimento non è mai stata svolta (né poteva essere svolta) attività di ricerca di alcun genere”. Il Garante avrebbe pertanto, secondo il titolare, erroneamente applicato al caso in esame la disciplina di cui al Regolamento e al Codice così come modificato dal d.lgs. 10 agosto 2018, n. 101, in quanto la vicenda ratione temporis, afferisce ad un periodo antecedente all’entrata in vigore di tale normativa.

La Società ha sostenuto, inoltre, che non può essere ritenuta responsabile per la violazione dell’art. 110 del Codice né dell’art. 14 del Regolamento in quanto la loro applicazione era ed è tuttora impossibile per Tiziana Life Sciences che non ha mai svolto trattamenti di dati personali per scopi di ricerca.

In subordine, la Società ha rappresentato che “Non potendo raccogliere il consenso degli interessati, per poter trattare lecitamente i dati personali a fini di ricerca ai sensi dell’art. 110, comma 1, Codice Privacy (sia nella versione applicabile nel 2016 che in quella attuale), Tiziana Life Sciences avrebbe dovuto elaborare un progetto di ricerca, sottoporlo al comitato etico competente e richiedere l’autorizzazione al trattamento da parte di codesta Autorità. Tuttavia, Tiziana Life Sciences è stata incolpevolmente impossibilitata a sviluppare un progetto di ricerca con il poco tempo e le poche informazioni a sua disposizione” contestando, quindi quella che, secondo il titolare sarebbe l’interpretazione dell’art. 110, comma 1 del Codice fornita dal Garante. La Società sostiene, in particolare, che secondo l’Autorità “nell’impossibilità di ottenere il consenso dei soggetti interessati, l’acquirente di una Banca Dati debba aver sviluppato un progetto di ricerca sulla base dei dati che ha intenzione di acquistare, prima ancora dell’acquisto stesso. Una simile interpretazione comporta l’imposizione di un onere aggiuntivo non previsto dalla legge e quindi un’ingerenza ingiustificata nella libertà imprenditoriale di Tiziana Life Sciences, in violazione dell’art. 41, comma 1, della Costituzione italiana”.

Inoltre, l’art. 110 del Codice, prevedendo il consenso come base giuridica generale per il trattamento dei dati a fini di ricerca medica, e l’uso della base giuridica dedicata di cui all’art. 9, comma 2, lett. j) come eccezione a tale regola generale, sarebbe, secondo la Società, incompatibile con l’equilibrio stabilito dal Regolamento tra gli interessi coinvolti nel trattamento per finalità di ricerca e dovrebbe quindi essere disapplicato per il suo contrasto con il diritto europeo, in virtù del principio di primazia del diritto dell’Unione. Infatti, non sarebbe consentito introdurre il consenso come base giuridica generale sulla base del disposto dell’art. 9, comma 4, del Regolamento in quanto tale norma consente agli Stati membri di introdurre misure aggiuntive o di prevedere esenzioni per il trattamento dei dati sanitari a fini di ricerca, ma non consente di limitare le basi giuridiche utilizzabili per legittimare tale trattamento.

La Società ha quindi richiesto la disapplicazione dell’art. 110 del Codice “in quanto in contrasto con i principi del diritto dell’Unione europea”.

La Società ha poi ipotizzato che la fattispecie in esame dovrebbe più correttamente essere inquadrata nella norma di cui all’art. 110-bis del Codice.

La Società ha precisato, inoltre, che “non aveva alcuna intenzione di condurre la ricerca all'estero o di spostare i campioni, anzi, Tiziana aveva preso accordi per condurre la ricerca in Sardegna, creando così nuove opportunità di lavoro in una regione con un alto tasso di disoccupazione. In verità, Tiziana ha costituito una società in Sardegna per condurre le successive attività sui campioni, e ha stipulato accordi con i Comuni e collaborazioni con i centri di ricerca locali in piena trasparenza e correttezza. Tutte queste azioni non sono poi state portate avanti alla luce delle vicende giudiziarie che hanno coinvolto la società”.

Tiziana Life, alla luce di quanto sopra esposto, ritiene che “nessuna sanzione possa essere legittimamente applicata” non avendo commesso alcuna violazione e ha chiesto l’archiviazione del procedimento amministrativo in corso.

La Società ha evidenziato tuttavia che qualora “codesta Autorità ritenga di dover comunque irrogare una sanzione amministrativa, in primo luogo, la sanzione dovrebbe essere determinata tenendo in considerazione il fatto che il trasferimento della Banca Dati (cioè il trattamento per finalità di ricerca scientifica) e parte della successiva conservazione fino al 25 maggio 2018 è antecedente all’entrata in vigore del GDPR. Pertanto, le sanzioni applicabili per questa condotta dovrebbero essere quelle previste dal Codice Privacy come in vigore all’epoca”.

A tale riguardo, Tiziana Life Sciences, al fine della determinazione da parte del Garante dell’ammontare della potenziale sanzione amministrativa pecuniaria, qualora la richiesta di archiviazione della vicenda non dovesse essere accolta, ha evidenziato come non le possa essere imputata alcuna condotta dolosa o negligente in quanto ha sempre tenuto un atteggiamento di proattiva collaborazione sia nei confronti dell’Autorità che in quelli dei soggetti interessati che negli anni hanno esercitato i loro diritti nei confronti di Tiziana Life Sciences. Il non aver effettuato alcuna operazione di trattamento sulla banca dati (eccetto che per la mera conservazione), oltre ad essere il risultato di una preclusione materiale, è anche il risultato di una scelta prudenziale di Tiziana Life Sciences che, in buona fede, si è astenuta dall’intervenire su beni sottoposti a sequestro e oggetto di un procedimento penale e sui limitatissimi beni in suo possesso per evitare di compromettere la posizione dei soggetti coinvolti e di commettere degli illeciti che avrebbero potuto compromettere anche la propria posizione. Inoltre “Fino a quando la sentenza del Tribunale di Cagliari non è stata cassata dalla Corte di Cassazione, Tiziana Life Sciences ha fatto legittimamente affidamento su di essa per ritenere che la sua condotta fosse pienamente legittima”.

È stato evidenziato inoltre che:

- “Tiziana Life Sciences ha interrotto qualsiasi attività sui dati, ad eccezione della semplice conservazione, e non ha tratto alcun beneficio economico dal trattamento, avendo semmai sostenuto solo costi”;

- “Gli interessati non hanno subito alcun danno, poiché le finalità per cui la Banca Dati era stata originariamente acquistata non sono mai state realizzate”;

- “Nonostante le numerose difficoltà derivanti da una situazione procedurale e normativa complessa e intricata, Tiziana Life Sciences ha sempre manifestato l’intenzione di collaborare con codesta Autorità”.

In data 27 gennaio 2023, presso la sede del Garante si è svolta l’Audizione richiesta da Tiziana Life. In quella sede la Società, richiamandosi integralmente a quanto già rappresentato nelle proprie memorie difensive, ha rappresentato in particolare che in base ad alcune notizie stampa risulta che “l’Associazione Identità Ogliastrina, il cui Presidente risulta nominato custode della biobanca, ha annunciato di voler svolgere progetti di ricerca sui dati contenuti nella banca dati”.

Con specifico riguardo alla propria posizione, la Società ha ulteriormente evidenziato che:

- “eventuali operazioni di trattamento sulla banca dati determinerebbero una violazione di disposizioni penali trattandosi di beni oggetto di sequestro giudiziario”;

- “In più occasioni Tiziana Life ha cercato di instaurare un dialogo con [...] [l’] Autorità al fine di trovare una soluzione accettabile alla complessa vicenda della biobanca, nonostante Tiziana Life non fosse tenuta a farlo e nonostante la sentenza del Tribunale di Cagliari (in attesa del giudizio della Corte di Cassazione). Lo stesso fatto che Tiziana Life, pur avendo ottenuto una sentenza di primo grado immediatamente esecutiva a suo favore, non abbia iniziato alcuna attività di ricerca, dimostra l'effettiva impossibilità di svolgere qualsiasi tipo di attività di ricerca” [...];

- ha “deciso di limitarsi a una semplice conservazione nell’attesa della definizione delle vicende processuali (anche e soprattutto penali) che hanno interessato il database, fatte salve le azioni strettamente necessarie per riscontrare le richieste degli interessati sempre soddisfatte dalla Società per annotazione (circa 700), conformemente anche alle prescrizioni dell’Autorità giudiziaria e informandone il Garante”; “La Società specifica anche di essere stata l’unica a presentare una offerta di acquisto della biobanca anche a seguito della dovuta pubblicazione dell’offerta su due testate, una nazionale (Sole 24 ore) e una locale (Unione Sarda). Nessuna società infatti ha rilanciato l’offerta di Tiziana Life:

- non aveva alcuna intenzione di condurre la ricerca all'estero o di spostare i campioni, anzi, aveva preso accordi per condurre la ricerca in Sardegna, creando così nuove opportunità di lavoro in una regione con un alto tasso di disoccupazione. In verità, la Società ha costituito una società in Sardegna per condurre le successive attività sui campioni, e ha stipulato accordi con i Comuni e collaborazioni con i centri di ricerca locali in piena trasparenza e correttezza. [...].

Infine, la Società ha precisato di essere stata “creata per sviluppare farmaci sperimentali per combattere malattie quale il tumore alla mammella e altre quali la sclerosi multipla. A Tale riguardo, sono state avviate delle collaborazioni con l’IEO di Milano. Tuttavia, la Società come ampiamente rappresentato non è mai riuscita ad entrare nel possesso della banca dati ed avviare i previsti progetti di ricerca. La Società inoltre evidenzia che da un punto di vista economico, come si evince dai bilanci, ha solo sostenuto spese non avendo mai fatturato alcunché”.

4. La normativa in materia di protezione dei dati personali

La vicenda dalla quale origina il reclamo ha avuto inizio durante la vigenza del quadro normativo precedente all’entrata in vigore del Regolamento e delle modifiche apportate dal d.lgs. 10 agosto 2018, n. 101 al Codice.

In tale ambito, il trattamento dei dati genetici per scopi di ricerca scientifica poteva essere effettuato “solo nei casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità” (art. 90 del Codice) e quindi sulla base dell’Autorizzazione n. 8 del Garante al trattamento dei dati genetici che, per scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, richiedeva il “consenso dell´interessato salvo che nei casi di indagini statistiche o di ricerca scientifica previste dalla legge” (art. 3, comma 1 lett. c)”. L’Autorizzazione prevedeva, inoltre, che “I campioni biologici prelevati e i dati genetici raccolti per scopi di tutela della salute possono essere conservati ed utilizzati per finalità di ricerca scientifica o statistica, ferma restando la necessità di acquisire il consenso informato delle persone interessate, eccetto che nei casi di indagini statistiche o ricerche scientifiche previste dalla legge. La conservazione e l’ulteriore utilizzo di campioni biologici e di dati genetici raccolti per la realizzazione di progetti di ricerca e indagini statistiche, diversi da quelli per i quali è stato originariamente acquisito il consenso informato degli interessati, sono consentiti limitatamente al perseguimento di scopi scientifici e statistici direttamente collegati con quelli originari” (art. 8).

Rileva, nella ricostruzione del quadro normativo antecedente all’entrata in vigore del Regolamento, l’art. 16 del Codice (ora abrogato) che disponeva che “1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12. 2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti”.

In riferimento agli oneri informativi, nelle ipotesi di dati raccolti presso soggetti terzi, il Codice disponeva in particolare che “4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile” (art. 11, commi 4 e 5).

Con riguardo a tali aspetti, la suprema Corte di Cassazione nell’ordinanza del 24 marzo 2021 ha statuito che “il trasferimento di dati dal titolare originario ad un altro soggetto [...] pur essendo consentito, dà luogo alla cessazione del trattamento originario – e non alla successione dello stesso-, comportando quindi l’inizio di un distinto trattamento ad opera del nuovo titolare, tenuto al rispetto della complessiva disciplina in tema di informativa e consenso” e che “resta così confermata, in linea generale l’imprescindibilità del consenso informato in caso di cessione di una banca dati genetica laddove non ricorrano le deroghe previste dagli artt. 13, comma 5, 26, comma 4 110, comma 1 CP” nella suo formulazione ante novella.

La Corte di Cassazione, inoltre, riconoscendo che quella in esame abbia rappresentato un’ipotesi di raccolta di dati presso terzi, ha ritenuto che la società Tiziana Life avrebbe dovuto applicare l’art. 13, comma 4 del Codice nella  versione vigente all’epoca della raccolta secondo cui “se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessai all’atto della registrazione dei dati, o quando è prevista la loro comunicazione, non oltre la prima comunicazione” .

Rilevano rispetto al reclamo in esame anche i precedenti pronunciamenti del Garante che hanno riguardato il trattamento dei dati personali contenuti nella biobanca di cui si tratta.
Il Garante, con il Provvedimento del 21 dicembre 2017 (doc. web 7465896), ha accolto seppure parzialmente il ricorso di un interessato ordinando alla Società “… di annotare l’opposizione all’ulteriore utilizzo dei dati che riguardano i ricorrenti provvedendo, ove necessario, previa autorizzazione dell´a.g.:

1.a trasmettere loro quelli eventualmente in possesso e non soggetti a sequestro;

2. adottare ogni misura idonea a garantire i diritti degli interessati riguardo ai dati oggetto di sequestro, provvedendo, una volta revocato quest’ultimo da parte dell´autorità giudiziaria, alla loro trasmissione, informandone tempestivamente il Garante”.

Successivamente, con nota del 27 agosto 2018, la Società nel fornire riscontro ad una specifica richiesta di informazioni di questa Autorità (nota del 27 luglio 2018, prot. n. 22732) ha comunicato al Garante che il “consulente tecnico da essa nominato ha effettuato l’accesso alla banca dati informatica in possesso della società e ha provveduto a dare esecuzione al provvedimento dell’Autorità, con riferimento sia ai ricorrenti sia agli altri soggetti che hanno effettuato in via stragiudiziale richieste analoghe. La società ha preparato dei documenti individuali contenenti le informazioni estratte dalla banca dati […] verranno comunicati individualmente ai soggetti interessati, per il tramite del loro procuratore”. È stato inoltre precisato che “[…] sono stati trasmessi solo ed esclusivamente i dati non oggetto di sequestro da parte dell’Autorità giudiziaria. Come già riferito nelle precedenti comunicazioni, sono state in ogni caso annotate tutte le opposizioni all’ulteriore trattamento dei dati personali […]”.

Si richiama altresì il provvedimento di blocco del Garante che nel 2016 aveva ordinato a Tiziana Life, tra le altre cose, di “ricontattare gli interessati, al fine di rendere loro un’idonea informativa e raccogliere una nuova manifestazione di consenso” (doc. web 5508051).

Sotto altro profilo, si evidenzia, inoltre, che a seguito dell’Ordinanza della Corte di Cassazione del 24 marzo 2021, nessuna delle parti ha provveduto, nei termini stabiliti, alla riassunzione del processo presso il giudice del merito, rappresentando che “Se la riassunzione non avviene entro il termine di cui all'articolo precedente, o si avvera successivamente a essa una causa di estinzione del giudizio di rinvio [c.p.c. 306], l'intero processo si estingue [c.p.c. 310]; ma la sentenza della Corte di cassazione conserva il suo effetto vincolante anche nel nuovo processo che sia instaurato con la riproposizione della domanda” (art. 393 c.p.c.).

La vicenda in esame è proseguita nel tempo, perdurando oltre l’approvazione e la definitiva entrata in vigore del Regolamento (il trattamento infatti risulta ad oggi in corso). Tenuto conto anche che la maggior parte del tempo durante il quale si è sviluppata la vicenda in esame risulta successiva alla vigenza della rinnovata normativa in materia di protezione dei dati personali, si rappresenta che in base alla disciplina vigente, il trattamento di dati personali anche inerenti alle particolari categorie, tra cui rientrano ora espressamente anche i dati genetici, deve avvenire in primo luogo nel rispetto dei principi stabiliti dal Regolamento.

Per trattamento si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, n. 2 del Regolamento).

Dei principi applicabili al trattamento si segnalano in particolare, avuto riguardo alla fattispecie in esame, quello di liceità, in base al quale ogni trattamento di dati personali deve fondarsi su un specifico presupposto giuridico (art. 5, par. 1, lett. a), 6 e 9 del Regolamento), il principio di trasparenza volto ad assicurare che gli interessati possano esercitare un controllo attivo sui loro dati, anche attraverso l’esercizio dei diritti ad essi riconosciuti (art. 5, par. 1, lett. a), 12, 13 e da 15 a 22 del Regolamento) e il principio di responsabilizzazione per cui il titolare del trattamento è competente non solo per l’osservanza dei richiamati principi ma deve anche essere in grado di comprovarne il rispetto (art. 5, par. 2 e 24 del Regolamento; “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, Versione 2.0. Adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati).
Con riferimento al principio di trasparenza si rinvia alle “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” adottate dal Gruppo art. 29 il 29 novembre 2017 nella Versione emendata adottata l’11 aprile 2018. Il Gruppo correla inscindibilmente la trasparenza dei trattamenti alla correttezza degli stessi, sottolienando in particolare il valore della tempestività nel fornire le informazioni agli interessati, in quanto adempimento determinante per l’effettiva autodeterminazione degli stessi.

Merita segnalarsi come già il Gruppo art. 29 nelle Parere 3/2010 sul principio di responsabilità, del 13 luglio 2010, sottolineasse la rilevanza del principio di responsabilizzazione nell’ambito di un’attività “pericolosa” quale quella del trattamento dei dati personali. Il Gruppo art. 29 in particolare rappresentava l’esigenza che gli obblighi giuridici fossero tradotti in misure concrete di protezione dei dati di volta in volta efficaci all’effettiva applicazione del principio di protezione dei dati personali considerato e che i titolari del trattamento fossero nella condizione di comprovare l’idoneità delle misure implementate anche tenuto conto del rischio connesso, nel caso specifico, al trattamento dei dati. Il Gruppo considerava esplicitamente la trasparenza come parte integrante di molte misure, evidenziando in particolare che essa “contribuisce alla responsabilità dei responsabili del trattamento”. Le linee guida chiariscono quindi che “Il responsabile del trattamento può avere attuato e verificato le misure che ha posto in essere, e tuttavia può trovarsi coinvolto in irregolarità. Di conseguenza, l’adozione di misure volte al rispetto dei principi non deve in nessun caso esonerare i responsabili del trattamento dalle azioni di verifica dell'applicazione delle autorità di protezione dei dati. In pratica, i responsabili del trattamento del settore pubblico e privato che abbiano adottato misure nell’ambito di robusti programmi di conformità hanno maggiori probabilità di essere in regola con la legge. In effetti, poiché hanno predisposto misure efficaci dirette al rispetto dei principi sostanziali di protezione dei dati, dovrebbe essere meno probabile per loro incorrere in violazioni. Pertanto, nel valutare sanzioni relative a violazioni della privacy, le autorità di protezione dei dati potrebbero considerare rilevanti l’attuazione (o la mancata attuazione) delle misure e la loro verifica”.

In tale contesto, il trattamento di dati personali per scopi di ricerca scientifica deve avvenire nel rispetto delle pertinenti disposizioni del Regolamento (artt. 5, 9, 14 e 89) e del Codice (art. 110), delle Prescrizioni relative al trattamento dei dati genetici, se del caso, delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegati 4) e 5) al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. del 10 agosto 2018, n. 10 (doc. web n. 9124510) nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637) che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

Con particolare riferimento alla questione prospettata si evidenzia che:

- l’art. 110 del Codice -che riguarda proprio la ricerca medica, biomedica ed epidemiologica- dispone che “Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

- le Prescrizioni relative al trattamento dei dati genetici, dispongono che il consenso al trattamento dei dati genetici è necessario per “finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento” (punto 4.5);

- nelle Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 del 4 maggio 2020, il Comitato europeo per la protezione dei dati si sofferma, tra le altre cose, sul requisito della specificità del consenso, evidenziando, come “La necessità di un consenso specifico associata alla nozione di limitazione delle finalità di cui all’articolo 5, paragrafo 1, lettera b), [funga] da garanzia contro l’ampliamento progressivo, o la commistione, delle finalità di trattamento dei dati dopo che l’interessato ha acconsentito alla loro raccolta iniziale”;

- nel medesimo documento, il Comitato europeo ha sottolineato altresì come, senza inficiare gli obblighi relativi al consenso, il considerando 33 del Regolamento riconosce che “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista” (cfr. punto 7.2; artt. 5, par. 1 lett. a) 6, 7 e 9 del Regolamento; A Preliminary Opinion on data protection and scientific research EDPS (6 gennaio 2020) EDPB; Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, Adopted on 2 February 2021 e Parere del Garante ai sensi del ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento del 30 giugno 2022 (doc. web 9791886).

- gli obblighi informativi prevedono in particolare che all’interessato siano rese le informazioni di cui agli artt. 13 e 14 del Regolamento, a seconda che i dati siano raccolti direttamente presso l’interessato ovvero presso terzi quali in particolare: a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

- in base al Regolamento, poi, qualora i dati siano ottenuti presso terzi e il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui comunicare tali informazioni risulti impossibile o implichi uno sforzo sproporzionato, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, paragrafo 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3, delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità”, fornendo talune indicazioni esemplificative (cfr. Provv. Garante del 29 ottobre 2020, doc. web 9517401, e del 10 dicembre 2020, doc. web 9520597).

L’art. 110-bis del Codice (che giova anticiparlo appare inconferente rispetto alla questione in esame), concerne, invece ipotesi di “trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici”.

5. L’esito dell’attività istruttoria: le violazioni accertate

In tale quadro, risulta accertato che la Società Tiziana Life ha conservato e tuttora conserva i dati personali contenuti nella biobanca in violazione dei principi di trasparenza e di responsabilizzazione, di cui all’ articolo 5, par. 1, lett. a) e par. 2 del Regolamento e dell’obbligo di fornire le informazioni agli interessati, di cui all’art. 14 del Regolamento.

5.1 Considerazioni preliminari: il principio del tempus regit actum

A tale riguardo, in via preliminare, si rappresenta che, diversamente da quanto sostenuto dal titolare del trattamento, seppure la condotta oggetto dell’istruttoria da parte di questa Autorità sia iniziata prima della data dell’applicazione del Regolamento, al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso che ci occupa, tale momento - considerando la natura permanente della condotta contestata - dove essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta protrarsi in epoca successiva al 25 maggio 2018 data in cui il Regolamento è divenuto applicabile e persistere tutt’ora.

5.2 Sulle condizioni di liceità del trattamento

Risulta accertato, anche in base al provvedimento di blocco del Garante del 6 ottobre 2016 e all’ordinanza della Corte di Cassazione del 24 marzo 2021, che la società Tiziana Life sia legittimamente entrata nel possesso dei dati e dei campioni biologici contenuti nella biobanca e di tutto il compendio acquisito a seguito del fallimento della società Shar.Dna. Il Garante, infatti, con il richiamato provvedimento ha disposto, in via cautelativa, “la misura temporanea del blocco del trattamento dei dati personali contenuti nella biobanca, con conseguente obbligo a carico di tale soggetto di astenersi da ogni ulteriore [rispetto alla conservazione] trattamento dei dati e utilizzo dei campioni biologici degli interessati ad eccezione delle sole operazioni di trattamento necessarie per:

- garantire un’adeguata conservazione dei dati e dei campioni della biobanca, allorché, venute meno le esigenze cautelari, venga acquisita la disponibilità di questi ultimi;

- ricontattare gli interessati, al fine di rendere loro un’idonea informativa e raccogliere una nuova manifestazione di consenso nei termini illustrati nel presente provvedimento;

- fornire adeguato riscontro alle eventuali richieste degli interessati volte a esercitare i diritti in materia di protezione dei dati personali.

In altri termini, a seguito della predetta cessione stabilita con decreto n. 7359/2016, emesso dal Tribunale di Cagliari, Tiziana Life è tenuta a richiedere il consenso degli interessati, non per l’operazione di raccolta e conservazione della banca dati di cui è risultata legittimamente cessionaria, ma per lo svolgimento delle ulteriori operazioni di trattamento necessarie al perseguimento di scopi di ricerca.

A tale riguardo, la Società ha sostenuto nella documentazione in atti, di non ritenersi nelle condizioni di poter definire, con il grado di dettaglio richiesto dalla disciplina di settore, lo scopo di ricerca scientifica rispetto al quale richiedere il consenso, specifico, degli interessati (art. 7 del Regolamento).

Sul punto, si osserva che in questo contesto per “ricerca scientifica” si intende un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi (Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, cit. e EDPS “Opinion on scientific research” del 6 Gennaio 2020).

Ebbene la società Tiziana Life ha acquisito il compendio fallimentare della società Shar.Dna per il precipuo scopo di proseguire nello specifico progetto di ricerca in campo medico “di fattori di rischio genetico e marcatori biologici per patologie umane di varia natura” volto ad eseguire l’”analisi di campioni biologici (DNA e plasma) prelevati da una popolazione di oltre 11.000 (undicimila) individui […] condotta in sinergia e con la collaborazione dell’Istituto di genetica delle popolazioni del CNR” (cfr. atto di vendita del ramo d’azienda e regolamento di vendita). Essa quindi all’atto dell’acquisto ben conosceva con sufficiente dettaglio gli scopi di ricerca che avrebbe dovuto quanto meno proseguire. 

Inoltre, successivamente all’entrata in vigore del Regolamento, Tiziana Life avrebbe potuto astrattamente avvalersi della possibilità di cui al Considerando 33 del Regolamento che senza inficiare gli obblighi relativi al consenso, riconosce che “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista” (artt. 5, par. 1 lett. a) 6, 7 e 9 del Regolamento; Linee guida 5/2020 sul consenso ai sensi del regolamento cit.).

Posta la astratta possibilità per la Società di individuare  le specifiche finalità del trattamento in relazione al quale acquisire il consenso degli interessati, eventualmente anche a fasi progressive, quale idonea base giuridica per il trattamento per scopi di ricerca scientifica, deve rilevarsi che, in base alle dichiarazioni rese e alla documentazione in atti, risulta tuttavia accertato che Tiziana Life non ha in concreto svolto, anche a causa dei sequestri giudiziari tutt’ora in corso, ulteriori operazioni di trattamento volte al perseguimento di scopi di ricerca scientifica, né analoghi a quelli precedentemente perseguiti dalla società Shar.Dna, né nuovi. Ciò stante non risulta configurata la violazione, originariamente contestata degli articoli 6, 9 e 110 del Regolamento.

5.2.1 Sull’art. 110 del Codice

Nell’ambito delle proprie memorie difensive la Società ha esplicitamente richiesto la disapplicazione dell’art. 110 del Codice “in quanto in contrasto con i principi del diritto dell’Unione europea”, ritenendo, in sintesi, che esso, prevedendo il consenso come base giuridica generale per il trattamento dei dati a fini di ricerca medica e l’uso della base giuridica dedicata di cui all’art. 9, comma 2, lett. j) del Regolamento come eccezione a tale regola generale, sia incompatibile con l’equilibrio stabilito dal Regolamento tra gli interessi coinvolti nel trattamento dei dati personali per finalità di ricerca scientifica. Come già evidenziato in premessa, la Società sostiene che non sarebbe consentito introdurre il consenso come condizione di liceità del trattamento sulla base del disposto dell’art. 9, par. 4, del Regolamento; ciò in quanto tale norma consentirebbe agli Stati membri di “introdurre misure aggiuntive o di prevedere esenzioni per il trattamento dei dati sanitari a fini di ricerca, ma non consente di limitare le basi giuridiche utilizzabili per legittimare tale trattamento”.

Tenuto conto che il Garante ha applicato diverse volte il richiamato articolo non considerandolo in nessuna sua parte in contrasto con la normativa di settore (cfr. provv. del 29 ottobre 2020, n. 202, doc. web 9517401; provvedimento del 10 dicembre 2020 doc. web 9520597; provvedimento del 17 settembre 2020, doc. web 9479364; provvedimento del 17 settembre 2020, doc. web 9479382; provvedimento del 1° novembre 2021, doc. web 9731827; provvedimento del 30 giugno 2022, doc. web 9791886; confronta anche Parere del Garante sullo schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 - 22 maggio 2018, doc. web 9163359), e fermo quanto rappresentato nel precedente punto (5.2), si ritiene opportuno rappresentare al riguardo quanto segue.

In primo luogo, tra le esenzioni al divieto al trattamento delle particolari categorie di dati di cui all’art. 9, par. 2 del Regolamento, quella indicata alla lettera j), specificamente dedicata agli scopi di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, è una disposizione che richiede necessariamente l’integrazione con una misura legislativa dell’Unione o dello stato membro che disciplini tali aspetti.

In secondo luogo, l’art. 110 del Codice, non circoscrive le basi giuridiche utilizzabili per il trattamento dei dati sulla salute (e quindi anche genetici) per scopi di ricerca medica al solo consenso degli interessati (cons. 35 del Regolamento). Il principio dell’alternatività delle basi giuridiche resta infatti salvo anche in questo settore.

L’articolo in esame -del quale prima di ogni eventuale disapplicazione si impone una lettura e interpretazione conforme alla normativa comunitaria in materia di protezione dei dati personali- nell’enucleare quelle che possono essere le principali basi giuridiche del trattamento dei dati personali in campo di ricerca medica, biomedica e epidemiologica, con particolare riferimento al consenso -tenuto anche conto che generalmente in tale ambito i dati personali sono raccolti direttamente presso gli interessati arruolati nei progetti di ricerca- anche in linea con le rilevanti dichiarazioni di diritto internazionale nel settore (1) - definisce, nella sua seconda parte, quella disposizione del diritto nazionale, cui appunto fa riferimento il citato art. 9, par. 2, lett. j) del Regolamento, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato. Oltre ed in alternativa al consenso, l’art. 110 del Codice dispone, infatti, che tali trattamenti possano essere effettuati se previsti in base a disposizioni di legge o di regolamento o al diritto dell'Unione, imponendo in tal caso, quale misura a tutela dei diritti e delle libertà degli interessati, che sia condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento.

L’art. 110, comma 1, del Codice, nella sua ultima parte deve infine essere interpretato come norma di chiusura che, nel solco della facoltà normativa riconosciuta agli Stati membri ai sensi del combinato disposto degli artt. 9, par. 2, lett. j) e par. 4 del Regolamento, individua gli adempimenti e le condizioni  alle quali, pur senza una specifica base normativa o consenso degli interessati, il trattamento dei dati personali per i predetti scopi di ricerca in campo medico, biomedico e epidemiologico può essere comunque effettuato.

Resta fermo, inoltre, che la ricerca può trovare la sua base giuridica anche nelle altre ipotesi di deroga al divieto di trattare le particolari categorie di dati quali le disposizioni che disciplinano il trattamento di tali dati per il perseguimento di un compito di interesse pubblico anche nel settore della sanità pubblica (art. 9, par. 2, lett. g), i) e art. 2-sexies lett. cc.) del Codice.

5.3. Sul principio di trasparenza e sugli obblighi informativi

Dalla documentazione in atti emerge che Tiziana Life non ha reso alcuna informativa agli interessati, né ai sensi dell’art. 13, comma 4 del Codice vigente all’epoca della raccolta dei dati presso la società Shar.Dna, né successivamente all’entrata in vigore del Regolamento ai sensi degli artt. 13 o 14 dello stesso.

Tale inerzia, come più diffusamente riportato in premessa, sarebbe dovuta all’impossibilità per Tiziana Life, a causa dei sequestri giudiziari in corso, di verificare il contenuto specifico della banca dati e degli ulteriori beni acquisiti e conseguentemente dell’impossibilità di definire lo scopo e le operazioni di trattamento che avrebbe svolto in qualità di titolare per scopi di ricerca scientifica.

Gli obblighi informativi non impongo al titolare del trattamento di dettagliare le singole operazioni che si intendono svolgere quanto piuttosto di rappresentare agli interessati, in particolare per ciò che qui rileva:

l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

i dati di contatto del responsabile della protezione dei dati, ove applicabile;

le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

il diritto di proporre reclamo a un'autorità di controllo.

A tale riguardo, il cons. 61 del Regolamento stabilisce, in particolare, che “I principi di trattamento corretto e trasparente implicano che l'interessato sia informato dell'esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all'interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati” e il Considerando 62 che “L'interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso [...]. Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, dovrebbe fornire all'interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie. [...].

Si evidenzia, inoltre, che l’informativa non è pensata come un documento “statico”, ma anzi il titolare del trattamento ben può modificare e aggiornare le proprie informative, nel corso del tempo, a seconda delle esigenze correlate al caso concreto (cfr. punti 29 e ss delle cit. Linee guida sulla trasparenza ai sensi del regolamento 2016/679).

Ebbene, anche alla luce delle considerazioni già svolte al precedente punto 7.2., si ritiene che Tiziana Life abbia omesso di adempiere gli obblighi informativi previsti dalla disciplina in materia di protezione dei dati personali, in violazione anche del principio di trasparenza (cfr. al riguardo per analogia le Prescrizioni in materia di operazioni di fusione e scissione fra società - 8 aprile 2009, doc. web 1609999; provv. del 19 gennaio 2017, doc. web 6093240 e provv. del 9 novembre 2017, doc. web 7489156).

Tenuto conto che Tiziana Life non ha raccolto dati presso gli interessati ma presso un soggetto terzo, tale obbligo avrebbe dovuto essere adempiuto nelle modalità di cui all’art. 13, comma 4 del Codice vigente all’epoca e, successivamente all’entrata in vigore del Regolamento, nelle modalità di cui all’art. 14 del Regolamento. Trattandosi di dati raccolti presso soggetti terzi per scopi di ricerca scientifica, Tiziana Life avrebbe anche potuto rendere le predette informazioni agli interessati nelle modalità previste dall’art. 14, par. 5, lett. b), del Regolamento, che si ritiene applicabile alla fattispecie in esame. In particolare, l’art. 14, par. 5, lett. b), del Regolamento, in relazione ai dati raccolti presso soggetti terzi, dispone  che “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni”.

In particolare, Tiziana Life avrebbe dovuto e potuto informare, ai sensi dell’art. 14 del Regolamento, gli interessati in ordine alla circostanza che a seguito del fallimento della Società Shar.Dna e dell’acquisto della banca dati da parte di quest’ultima, sotto il profilo della protezione dei dati personali, era intervenuto un mutamento soggettivo del titolare del trattamento, ciò in quanto, come affermato dalla citata ordinanza della Corte di Cassazione “la cessione dei dati ad un terzo, ed il conseguente mutamento soggettivo del titolare del trattamento determina l’avvio di un nuovo trattamento a sua volta soggetto alle disposizioni generali in tema di informativa […]” come sopra richiamate.

Ben poteva, inoltre, Tiziana Life fornire agli interessati ogni informazione in ordine agli eventi medio tempore intervenuti, anche al fine di rassicurare gli interessati sulle finalità del trattamento, allo stato limitate alla sola conservazione giudiziale dei dati personali.

Risulta pertanto accertata la violazione degli artt. 5, par. 1, lett. a) e 14 del Regolamento.

5.4. Sul principio di responsabilizzazione

Il Garante riconosce, inoltre, l’assoluta peculiarità delle circostanze di fatto e di diritto che hanno riguardato la biobanca. Tale caratteristica, seppur astrattamente qualificabile come attenuante per le responsabilità imputabili al titolare, costituisce in via logicamente e giuridicamente precedente un elemento che questi avrebbe dovuto tenere in considerazione durante tutta la durata del trattamento al fine di individuare misure idonee a tutelare i diritti e libertà fondamentali degli interessati. Ciò tenuto conto che quella del trattamento dei dati personali è un’attività che richiede un approccio basato sul rischio, a maggior ragione nel caso di specie in cui rileva il trattamento di dati genetici per i quali esisteva una disciplina specifica, prima dell’entrata in vigore del Regolamento, e che ora sono entrati a far parte del novero delle particolari categorie di dati (art. 15 del Codice in materia di protezione dei dati personali ante novella; artt. 5, comma 2 e 24 del Regolamento).

Essendo il “contesto del trattamento” uno degli elementi che il titolare è tenuto a valutare per individuare le misure da implementare per assicurare adeguata tutela ai diritti e alle libertà fondamentali degli interessati ed effettiva applicazione ai principi in materia di protezione dei dati personali, si ritiene che in nessun caso esso possa valere come esimente dal rispetto degli adempimenti previsti dalla normativa di riferimento o come motivo per un giustificabile atteggiamento inerte a discapito dell’effettiva tutela dei diritti degli interessati.

Risulta, per altro, del tutto inconferente rispetto al caso di specie il riferimento alla disciplina delle obbligazioni contrattuali, di cui agli artt. 1218 e 1256 cc., relativi all’impossibilità dell’adempimento della prestazione da parte del debitore. Infatti, a prescindere dalla sussistenza o meno di un rapporto contrattuale tra titolare del trattamento e interessato, il rispetto degli obblighi derivanti dalla disciplina in materia di protezione dei dati personali non possono inquadrarsi come prestazione contrattuale. Esulando la materia in esame da quella dello iure privatorum, eventuali limitazioni o deroghe degli obblighi e dei diritti sanciti dalla normativa in materia di protezione dei dati personali sono ammesse unicamente se previste da una norma dal diritto dell’Unione o dello stato membro (art. 23 del Regolamento; art. 52 Carta dei diritti fondamentali dell’Unione europea).

Ciò premesso, il principio di responsabilizzazione introdotto dal Regolamento impone al titolare del trattamento non solo di rispettare i principi in materia di protezione dei dati personali ma anche di essere in grado di comprovarlo (art. 5, par. 2, del Regolamento). Più specificatamente il titolare deve essere in grado di garantire e di comprovare durante tutta la sua durata, che il trattamento sia conforme al Regolamento indviduando delle specifiche misure tecniche e organizzative adeguate al contesto di riferimento.

La circostanza che in un contesto, oggettivamente complesso e peculiare, come quello in cui si è svolta tutta l’articolata vicenda della biobanca di Tiziana Life, la Società abbia scelto, ancorché in buona fede, un atteggiamento del tutto inerte, in particolare rispetto al principio di trasparenza; esso costituisce un atteggiamento diametralmente opposto a quello proattivo che il principio di responsabilizzazione introdotto dal Regolamento impone.

Tale inerzia risulta ancora più ingiustificata alla luce del fatto che, il regolamento di vendita della banca dati in questione evidenzia non solo l’obbligo di rispettare la disciplina in materia di protezione dei dati personali ma, in particolare, quello di informare gli interessati in ordine all’identità del nuovo titolare. A ciò si aggiunga che il provvedimento di blocco del Garante del 2016 ha fatto salve le attività correlate all’obbligo di rendere agli interessati una nuova informativa e anche la recente e citata ordinanza della Corte di cassazione si esprime in tale senso.

Risulta pertanto accertata la violazione dell’art. 5, par. 2 del Regolamento.

Si rappresenta, infine, che il Garante si riserva di svolgere autonome iniziative volte ad accertare quanto emerso in sede istruttoria circa talune notizia stampa che riportano che “l’Associazione Identità Ogliastrina, il cui Presidente risulta nominato custode della biobanca, ha annunciato di voler svolgere progetti di ricerca sui dati contenuti nella banca dati”.

6. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società in violazione degli articoli 5, par. 1, lett. a), par. 2 e 14 del Regolamento. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

7. Misure Correttive

L’art. 58, par. 2 del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali.

Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento prevede il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere alla Società, ai sensi del richiamato art. 58, par. 2, lett. d), del Regolamento, di conformare entro 60 giorni dalla notifica del presente provvedimento, i trattamenti alle disposizioni del Regolamento fornendo le informazioni di cui all’art. 14 del Regolamento, se del caso anche secondo le modalità di cui al paragrafo 5, lett. b) del medesimo articolo.

Ciò, fermo restando quanto già statuito dal Garante nel più volte citato provvedimento di blocco del 6 ottobre 2016 in ordine al dovere della società “di raccogliere una nuova manifestazione di consenso” prima dello svolgimento di eventuali trattamenti per scopi di ricerca scientifica se e non appena la Società verrà immessa nel pieno possesso della Biobanca.

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), 2 e 14 del Regolamento, commessa da Tiziana Life è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento si osserva che:

- il trattamento effettuato ha riguardato informazioni idonee a rilevare lo stato di salute e dati genetici riferiti a circa 11.700 interessati, (art. 4, par. 1, n. 13 e 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo le violazioni accertate avvenute in buona fede (art. 83, par. 2, lett. b) del Regolamento);

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- la Società ha gestito mediante annotazione le richieste di revoca dei consensi in precedenza prestati e di cancellazione dei dati degli interessati (art. 83, par. 2, lett. k) del Regolamento);

- la Società ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di € 30.000 (trentamila) per la violazione degli artt. 5, par. 1, lett. a), par. 2 e 14 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato da Tiziana Life Science Limited (già Tiziana Life PLC) con sede legale in 9th Floor, 107 Cheapside, Londra, EC2V 6DN, Regno Unito (di seguito la Società), in persona del legale rappresentante pro tempore Keeren Shah Rameshchandra, rappresentata e difesa dall’Avv. Laura Liguori, giusta procura speciale in atti, rilasciata dal legale rappresentate in data, 6 ottobre 2022, per la violazione degli articoli 5, par. e, 2, e 14 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla società Tiziana Life Science Limited, di pagare la somma di € 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata. 

INGIUNGE

alla Società Tiziana Life Science Limited:

1. di pagare la somma di euro € 30.000 (trentamila) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

2. ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, fornendo le informazioni di cui all’art. 14 del Regolamento, se del caso anche secondo le modalità di cui al paragrafo 5, lett. b) del medesimo articolo, entro e non oltre il termine di 60 giorni dalla notifica del presente provvedimento. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento (par. 7 del presente provvedimento);

3. ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2., e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell’art. 166, comma 7 del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 27 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

1) Dichiarazione di Helsinki dell´Associazione medica mondiale (WMA), recante principi etici per la ricerca biomedica che coinvolge gli essere umani adottata nel giugno 1964 e ss.mm.ii; la Convenzione sui diritti dell’uomo e sulla biomedicina, adottata dal Consiglio d’Europa a Oviedo il 4 aprile 1997 e il Protocollo addizionale relativo alla ricerca biomedica del 2005; la Dichiarazione universale sul genoma umano e i diritti umani, adottata dall´Unesco dell´11 novembre 1997; la Dichiarazione internazionale sui dati genetici umani dell´Unesco del 16 ottobre 2003.