Articolo 8 - Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario

1)I trattamenti di dati, anche personali, eseguiti da soggetti pubblici e privati senza scopo di lucro, dagli Istituti di ricovero e cura a carattere scientifico (IRCCS), di cui al decreto legislativo 16 ottobre 2003, n. 288, nonché da soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS, per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale per finalità di prevenzione, diagnosi e cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali, incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente, salute pubblica, incolumità della persona, salute e sicurezza sanitaria nonché studio della fisiologia, della biomeccanica e della biologia umana anche in ambito non sanitario, in quanto necessari ai fini della realizzazione e dell’utilizzazione di banche di dati e modelli di base, sono dichiarati di rilevante interesse pubblico in attuazione degli articoli 32 e 33 della Costituzione e nel rispetto di quanto previsto dall’articolo 9, paragrafo 2, lettera g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016.

2)Ai medesimi fini, fermo restando l’obbligo di informativa in favore dell’interessato, che può essere assolto anche mediante un’informativa generale messa a disposizione nel sito web del titolare del trattamento e senza ulteriore consenso dell’interessato ove inizialmente previsto dalla legge, è sempre autorizzato l’uso secondario di dati personali privi degli elementi identificativi diretti, anche appartenenti alle categorie indicate all’articolo 9 del regolamento (UE) 2016/679, da parte dei soggetti di cui al comma 1, salvi i casi nei quali la conoscenza dell’identità degli interessati sia inevitabile o necessaria al fine della tutela della loro salute.

3)Negli ambiti di cui al comma 1 o per le finalità di cui all’articolo 2 -sexies, comma 2, lettera v), del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, è sempre consentito, previa informativa all’interessato ai sensi dell’articolo 13 del regolamento (UE) 2016/679, il trattamento per finalità di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati personali, anche appartenenti alle categorie particolari di cui all’articolo 9, paragrafo 1, del medesimo regolamento (UE) 2016/679. È consentito altresì il predetto trattamento finalizzato allo studio e alla ricerca sui gesti atletici, sui movimenti e sulle prestazioni nell’attività sportiva in tutte le sue forme, nel rispetto dei princìpi generali di cui alla presente legge e dei diritti di sfruttamento economico dei dati relativi alle attività agonistiche che spettano a chi le organizza.

4)L’Agenzia nazionale per i servizi sanitari regionali (AGENAS), previo parere del Garante per la protezione dei dati personali, tenendo conto di standard internazionali e dello stato dell’arte e della tecnica, può stabilire e aggiornare linee guida per le procedure di anonimizzazione di dati personali, di cui al comma 3, e per la creazione di dati sintetici, anche per categorie di dati e finalità di trattamento.

5)I trattamenti di dati di cui ai commi 1 e 2 devono essere comunicati al Garante per la protezione dei dati personali con l’indicazione di tutte le informazioni previste dagli articoli 24, 25, 32 e 35 del regolamento (UE) 2016/679, nonché con l’indicazione espressa, ove presenti, dei soggetti individuati ai sensi dell’articolo 28 del medesimo regolamento (UE) 2016/679, e possono essere avviati decorsi trenta giorni dalla predetta comunicazione se non sono stati oggetto di provvedimento di blocco disposto dal Garante per la protezione dei dati personali.

6)Restano fermi i poteri ispettivi, interdittivi e sanzionatori del Garante per la protezione dei dati personali.