ISSN 2421-2563Il contributo analizza la definizione di «ricerca scientifica» nelle normative europee che disciplinano la circolazione dei dati nell’era digitale, mettendo in luce l’assenza di una definizione univoca nonostante il ruolo centrale che essa assume nell’applicazione di regimi derogatori in materia di protezione dei dati, in particolare sanitari. Attraverso l’analisi del GDPR, dell’EHDS, dell’AI Act, del Data Governance Act e delle principali direttive europee in materia di open data e diritto d’autore, lo studio evidenzia significative disarmonie normative e tensioni interpretative, soprattutto rispetto alla distinzione tra ricerca pubblica e privata e tra avanzamento della conoscenza e sviluppo commerciale. Emerge come l’incertezza definitoria non costituisca mera dimenticanza legislativa, ma rifletta dinamiche strutturali di potere nella produzione e nel controllo della conoscenza scientifica, con implicazioni decisive sulla determinazione di chi controlla i dati della ricerca e chi decide le priorità dell’innovazione e degli investimenti.
The paper analyzes the definition of «scientific research” in European regulations governing data circulation in the digital age, drawing attention to the absence of a single definition despite its central role in the application of derogations in data protection, particularly in the health sector. Through an analysis of the GDPR, the EHDS, the AI Act, the Data Governance Act, and the main European directives on open data and copyright, the study highlights significant regulatory inconsistencies and interpretative tensions, especially with regard to the distinction between public and private research and between the advancement of knowledge and commercial development. It emerges that definitional uncertainty is not merely a legislative oversight, but reflects structural power dynamics in the production and control of scientific knowledge, with decisive implications for determining who controls research data and who decides the priorities for innovation and investment.
1. La ricerca scientifica - 2. Il quadro normativo - 2.1. Il Regolamento generale europeo sulla protezione dei dati n. 679/2016 (GDPR) - 2.2. Il Regolamento sullo spazio europeo dei dati sanitari n. 327/2025 (EHDS) - 2.3. Il Regolamento europeo sull’uso dei sistemi di Intelligenza Artificiale n. 1689/2024 (AI Act) - 2.4. Il Regolamento europeo relativo alla governance europea dei dati n. 868/2022 (DGA) - 2.5. La Direttiva n. 1024/2019 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico (Open Data Directive) - 2.6. La Direttiva n. 790/2019 sul diritto d’autore e sui diritti connessi nel mercato unico digitale (Direttiva Copyright) - 3. Qualche riflessione (critica) di sintesi - NOTE
È piuttosto recente, anche se ormai comune, il riferirsi ai “dati” come al “nuovo petrolio” dell’economia; tuttavia, per la ricerca scientifica i dati costituiscono – da sempre – materia prima, essenziale e insostituibile: rappresentano l’evidenza empirica misurabile e intersoggettivamente condivisibile attraverso cui si formulano ipotesi, si validano metodi, si testano teorie e si trasformano intuizioni in conoscenza scientificamente controllabile e riproducibile.
Nel campo della ricerca biomedica ed epidemiologica, questa centralità assume una dimensione ancora più significativa: i dati sanitari non solo alimentano il progresso scientifico, ma costituiscono il fondamento per decisioni che incidono direttamente sulla salute individuale e collettiva, dalla prevenzione delle malattie allo sviluppo di nuove terapie, dalla programmazione sanitaria alla gestione delle emergenze di salute pubblica.
Avveduti di un tale assunto, si comprende appieno come ogni architettura di regole destinata a disciplinare l’uso dei dati non possa che incidere strutturalmente sulla stessa attività di ricerca scientifica, orientandone pratiche, tempi ed esiti.
La ricerca scientifica è – non a caso – una attività umana che gode di ampi riconoscimenti e tutele specifiche a livello normativo nazionale europeo e internazionale, essendo considerata elemento costitutivo dello sviluppo della società e della realizzazione della persona [1].
A livello sovranazionale, l’art. 13 della Carta dei diritti fondamentali dell’Unione europea del 2000 tutela espressamente la libertà della ricerca scientifica come diritto fondamentale in capo a chiunque; l’art. 27 della Dichiarazione universale dei diritti umani del 1948 attribuisce a tutti il diritto di partecipare al progresso scientifico e ai suoi benefici, riconoscendo la scienza come patrimonio comune dell’umanità; analogamente, l’art. 15 del Patto internazionale sui diritti economici, sociali e culturali del 1966 riconosce il diritto di ogni individuo a godere dei benefici del progresso scientifico e delle sue applicazioni.
Sul piano costituzionale nazionale, gli artt. 9 e 33 della Costituzione impegnano la Repubblica a promuovere [2] lo sviluppo della cultura e della ricerca scientifica e tecnica (art. 9, comma 1) [3] e garantire la libertà dell’arte e della scienza e del loro insegnamento, anche negli istituti non statali legalmente riconosciuti (art. 33, comma 1) [4].
A livello di Unione europea, particolare rilievo assume l’art. 179 del Trattato sul Funzionamento dell’Unione Europea (TFUE), che definisce l’obiettivo strategico di realizzare uno “spazio europeo della ricerca” in cui i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente, e che orienta le politiche unionali a rafforzare le basi scientifiche e tecnologiche dell’industria europea e a favorire lo sviluppo della sua competitività internazionale, promuovendo attività di ricerca ritenute necessarie.
Sono queste le premesse da cui discende l’esigenza di assoggettare i dati destinati alla ricerca e la stessa attività di ricerca che si fondi sull’uso massivo dei dati (attraverso l’Intelligenza Artificiale, ad esempio) a un regime giuridico differenziato: condizioni di liceità e di governance che permettano alla ricerca di prosperare senza che ciò comprometta i diritti fondamentali delle persone.
Il procedere in tal senso presuppone – tuttavia – che si sia in grado di dipanare un basilare nodo concettuale: che cosa si possa o si debba intendere per «ricerca scientifica», e la risposta non è affatto scontata.
Nonostante, infatti, i già richiamati riconoscimenti, nei testi normativi è (perlopiù) assente una definizione puntuale e univoca della locuzione «ricerca scientifica»; circostanza che, con tutta evidenza, non si palesa quale mera dimenticanza di un legislatore distratto, quanto il riflesso della natura intrinsecamente dinamica di un’attività che si fonda su concetti – quello di scienza e di ricerca – dalla valenza eminentemente pregiuridica, la cui corretta comprensione e esplicazione richiedono un costante dialogo interdisciplinare, nonché un approccio ermeneutico capace di adattarsi al continuo progresso delle conoscenze e delle metodologie di indagine. In questo contesto, emerge con particolare chiarezza la tensione tra l’esigenza di certezza del diritto e la necessità di preservare quella flessibilità interpretativa indispensabile per accompagnare l’evoluzione dell’attività scientifica, senza ingessarne le potenzialità innovative attraverso definizioni che possano risultare eccessivamente rigide e, per di più, soggette a possibile obsolescenza.
Nel più ampio contesto fin qui delineato, non c’è dunque da stupirsi se il recente moltiplicarsi di plessi normativi di matrice europea destinati alla regolazione del flusso dei dati per le più diverse finalità, solleva questioni interpretative di particolare rilievo che emergono dall’esame del come e a quale scopo ciascun di questi testi definisca (o non definisca) la «ricerca scientifica» e la «finalità di ricerca», con implicazioni significative per il bilanciamento tra autodeterminazione informativa del singolo individuo e primazia della ricerca, specie in ambito sanitario – che qui più ci interessa e impegna – dove entrano in gioco, da un lato, la protezione di tipi di dati definiti particolari (quali sono i dati relativi alla salute degli individui), e dall’altro il progresso scientifico, che può salvare vite umane attraverso nuove terapie, diagnosi precoci, medicina personalizzata.
Come è stato osservato [5], «ricerca scientifica» e «finalità di ricerca» sono definite occasionalmente ed in modi diversi nei testi normativi europei destinati alla regolazione della circolazione dei dati, e nessuno di essi appare pienamente coerente né armonizzato.
Nella maggior parte dei casi si registra l’assenza di una definizione “formale” di queste locuzioni, nonostante la previsione di “privilegi” e o “deroghe” al libero utilizzo di dati destinati alle attività di ricerca scientifica, l’identificazione del cui perimetro è – di conseguenza – perlopiù rimessa a indicazioni reperibili in alcuni considerando (recitals), quali premesse esplicative destinate a chiarire il senso e la portata delle disposizioni normative contenute negli articoli che, come più volte ribadito dalla Corte di Giustizia dell’Unione europea, svolgono una funzione interpretativa essenziale.
Il primo dei testi da analizzare è il Regolamento 2016/676/UE, in quanto riconosce alla ricerca scientifica una posizione peculiare nel bilanciamento tra protezione dei dati e libertà della scienza.
Derogando al principio di limitazione della finalità, l’art. 5, par. 1, lett. b prevede infatti che l’ulteriore trattamento di dati originariamente raccolti per specifiche finalità è lecito se effettuato, fra l’altro, per «scopi di ricerca scientifica» [6]; in deroga al principio di limitazione della conservazione, la stessa norma prevede altresì (lett. e) che i dati possono essere conservati per periodi più lunghi se trattati a fini di ricerca scientifica.
Per quanto concerne le categorie particolari di dati personali, fra i quali rientrano i dati relativi alla salute [7], è altresì considero lecito il trattamento per finalità di ricerca scientifica, a condizione che ciò sia necessario in base al diritto dell’Unione o nazionale, che sia proporzionato alla finalità perseguita, rispetti l’essenza del diritto alla protezione dei dati e preveda misure appropriate e specifiche per tutelare i diritti fondamentali dell’interessato (art. 9, par. 2, lettera j).
L’art. 89, par. 2, prevede inoltre che gli Stati membri possano introdurre deroghe ai diritti degli interessati (artt. 14(5), 15, 16, 17(3d)), 18, 21(6) GDPR) quando tali diritti «rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche» della ricerca. Si tratta di privilegi non assoluti, bensì subordinati ad alcune condizioni, quali la presenza di misure tecniche e organizzative per tutelare i diritti e le libertà degli interessati (quale l’anonimizzazione e la pseudonimizzazione – art. 89(2)) e subordinati alla presenza di una norma di legge dello Stato membro che preveda espressamente la deroga.
In ragione del fatto che nella ricerca scientifica non sempre è possibile determinare ex ante tutte le finalità del trattamento dei dati personali al momento della raccolta, il legislatore europeo ha altresì previsto al considerando 33 la possibilità che venga richiesto all’interessato un consenso non specifico ma più ampio, formulato per coprire il trattamento dei dati per macro aree di ricerca («areas of scientific research»), o graduato, in ragione dello stato di avanzamento di parti o settori di progetti di ricerca.
Pur così introducendo un regime agevolato per il trattamento dei dati ai fini della ricerca scientifica, il GDPR non contempla una definizione “formale” della relativa locuzione (l’articolo 4, dedicato alle definizioni, non la annovera), affidando al considerando 159 il compito di delineare i contorni di questa attività: «Il trattamento dei dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati. Inoltre, dovrebbe tener conto dell’obiettivo dell’Unione nell’ambito dell’articolo 179, paragrafo 1, TFUE, di realizzare uno spazio europeo della ricerca. Le finalità di ricerca scientifica dovrebbero comprendere anche gli studi condotti nell’interesse pubblico nell’ambito della sanità pubblica».
La formulazione presenta diversi elementi di interesse: l’utilizzo dell’espressione “in senso lato” («in a broad manner») indica chiaramente la volontà del legislatore europeo di non circoscrivere eccessivamente l’ambito applicativo del regime speciale per la ricerca, esemplificativamente estesa oltre i confini della ricerca accademica tradizionale; la menzione esplicita della «ricerca finanziata da privati» sembra poi voler superare la tradizionale dicotomia tra ricerca pubblica e ricerca privata, senza soffermarsi sulla natura dell’istituzione o ente che svolge tale attività, per garantire la massima flessibilità al settore della ricerca [8]; il riferimento a «gli studi svolti nell’interesse pubblico nel settore della sanità pubblica» persegue infine l’obiettivo di includere nel perimetro le diverse tipologie di attività che in ambito sanitario presentano una rilevanza collettiva (come ad esempio le sperimentazioni cliniche e le ricerche finalizzate alla programmazione sanitaria) [9].
Su di un piano analogo si pone il più recente Regolamento sullo spazio europeo dei dati sanitari, che certamente rappresenta il tentativo più articolato di affrontare il tema della gestione dell’«uso secondario» dei dati sanitari, ossia di quell’utilizzo di suddetta tipologia di dati elettronici per finalità che vanno oltre l’assistenza sanitaria individuale del paziente (c.d. «uso primario»), con benefici che si estendono alla collettività.
Pur non fornendo una definizione formale di “ricerca scientifica”, l’EHDS delinea un sistema che include esplicitamente la «ricerca scientifica relativa ai settori della salute o dell’assistenza, contribuendo alla salute pubblica o alla valutazione della tecnologia sanitaria» tra le finalità legittime per l’uso secondario dei dati sanitari, prevedendo al contempo specifiche procedure di autorizzazione per l’accesso all’utilizzo di tali dati e nuovi soggetti deputati a rilasciarle, i cc.dd. Health Data Access Bodies (HDAB) [10].
Il Regolamento non approfondisce il concetto di ricerca scientifica, ma chiarisce nel considerando 61 come «La fornitura dei dati dovrebbe inoltre sostenere le attività legate alla ricerca scientifica. Il concetto di finalità di ricerca scientifica dovrebbe essere interpretato in senso ampio, includendo lo sviluppo e la dimostrazione tecnologica, la ricerca fondamentale, la ricerca applicata e la ricerca finanziata con fondi privati. Le attività legate alla ricerca scientifica comprendono attività di innovazione quali l’addestramento di algoritmi di IA che potrebbero essere utilizzati nell’assistenza sanitaria o nella cura delle persone fisiche, nonché la valutazione e l’ulteriore sviluppo di algoritmi e prodotti esistenti per tali finalità».
Anche il considerando 61 dell’EHDS, così come il considerando 159 del GDPR, invoca un’interpretazione ampia di ricerca scientifica («The notion of scientific research purposes should be interpreted in a broad manner»), atta ad includere la ricerca tecnologica, la ricerca applicata, finanziata anche da soggetti privati; una interpretazione altresì destinata a ricomprendere le attività per l’innovazione, quali l’addestramento di algoritmi di intelligenza artificiale che potrebbero essere utilizzati nell’assistenza sanitaria o nella cura delle persone fisiche, nonché la valutazione e l’ulteriore sviluppo di algoritmi e prodotti esistenti a tali fini.
Una definizione che meglio si concilia con la scelta di concedere l’accesso ai dati sanitari elettronici per la secondaria utilizzazione anche alle imprese quando lo scopo è ricerca, innovazione e sviluppo per test di prodotti e servizi che contribuiscano alla salute pubblica o all’assistenza (es. dispositivi medici, applicazione di Intelligenza Artificiale in sanità) [11], sebbene un tale accesso possa avvenire solo in ragione di specifiche autorizzazioni rilasciate dagli Health Data Access Bodies, in ambienti di trattamento sicuri, con dati di regola anonimizzati o pseudonimizzati e divieto esplicito di re-identificazione.
Elementi innovativi introdotti dall’EHDS riguardano altresì la previsione dell’obbligo legale (ex art. 6, par. 1, lett. c, GDPR) per enti sanitari (quali ospedali, ASL, etc.) di mettere a disposizione i dati sanitari elettronici per uso secondario senza il consenso del paziente, e quella che permette il trattamento di categorie particolari di dati (quelli sanitari nel caso di specie) pure senza consenso degli interessati (ex art. 9, par. 2, lett. j, GDPR) quando il trattamento è svolto per finalità di ricerca scientifica, statistica o salute pubblica, riconoscendo, tuttavia, agli stessi un diritto di opt-out, nel caso in cui vogliano cioè escludere l’uso secondario dei propri dati sanitari per finalità di ricerca. Un bilanciamento, quello tra base giuridica non consensuale e diritto di esclusione, che rappresenta il tentativo di armonizzare l’esigenza di facilitare l’attività di ricerca con quella di rispettare l’autodeterminazione informativa dei singoli individui.
Sebbene l’art. 1(3) dell’EHDS afferma che il Regolamento «leaves unaffected» il GDPR, dal punto di vista applicativo il regime regolatorio introdotto dall’EHDS, in quanto lex specialis, sembra essere destinato a prevalere sulle disposizioni generali del GDPR per quanto riguarda l’uso secondario dei dati sanitari elettronici. Il considerando 52 tenta di chiarire questo rapporto – affermando che l’EHDS «fornisce una base giuridica per l’uso secondario dei dati sanitari elettronici personali, comprese le garanzie richieste a norma dell’articolo 9, paragrafo 2, lettere da g) a j), del regolamento (UE) 2016/679» e che «di conseguenza, gli Stati membri non dovrebbero più poter mantenere o introdurre, a norma dell’articolo 9, paragrafo 4, del Regolamento (UE) 2016/679, ulteriori condizioni, comprese limitazioni e disposizioni specifiche che richiedono il consenso delle persone fisiche, per quanto riguarda il trattamento per l’uso secondario dei dati sanitari elettronici personali a norma del presente regolamento» – con una previsione che, tuttavia, finisce con il sollevare importanti questioni sulla capacità del legislatore europeo di limitare attraverso una normativa settoriale il margine di manovra concesso agli Stati membri dal GDPR. Sarà, dunque, interessante osservare come verrà implementata nella pratica, in ragione della interpretazione che ne daranno le autorità di protezione dati e, eventualmente, la Corte di giustizia.
Nel complesso, il Regolamento sullo spazio europeo dei dati sanitari adotta una definizione molto più ampia e inclusiva di ricerca scientifica rispetto a quella contenuta nel GDPR; ampiezza che, sebbene sia dettata dalla consapevolezza dell’impossibilità di definire a priori e in modo esaustivo cosa sia ricerca scientifica, non è da escludere possa determinare potenziali conflitti interpretativi e incertezze per gli operatori chiamati ad applicare entrambi i framework normativi simultaneamente.
Il Regolamento IA, diversamente dai precedenti plessi normativi sin qui analizzati, non definisce né formalmente, né attraverso letture interpretative rimesse ai considerando cosa si intenda per “ricerca scientifica”; tuttavia nel considerando 25 è scritto: «Il presente regolamento dovrebbe sostenere l’innovazione, rispettare la libertà della scienza e non dovrebbe pregiudicare le attività di ricerca e sviluppo».
In ragione di tale obiettivo, l’art. 2, par. 6 del Regolamento esplicitamente esclude dal proprio ambito di applicazione «i sistemi di intelligenza artificiale sviluppati e messi in servizio specificamente a scopo di ricerca e sviluppo scientifici», il che significa che tali sistemi non devono rispettare i requisiti previsti dal Regolamento IA, nemmeno qualora presentino caratteristiche riconducibili ai sistemi di IA ad alto rischio o ai modelli di IA per finalità generali. L’uso della congiunzione e – «specificamente sviluppati e messi in servizio» – rende chiaro che entrambe le condizioni devono essere soddisfatte cumulativamente: affinché trovi applicazione questa esenzione non basta che il sistema sia “nato” in un laboratorio di ricerca, deve altresì rimanere confinato nel perimetro stretto della ricerca scientifica anche nella fase di implementazione e applicazione.
La non applicabilità delle disposizioni del Regolamento IA è, poi, prevista anche «per le attività di ricerca, prova o sviluppo riguardanti sistemi o modelli di AI prima dell’immissione nel mercato o della loro messa in servizio», a condizione che siano comunque rispettate le norme UE applicabili nel contesto di riferimento e che non si tratti di «prove in condizioni reali che non sono coperte da tale esclusione» (art. 2, par. 8). Con questa previsione il legislatore europeo sembra voler “esentare” dall’applicazione del suo stringente impianto regolatorio l’attività di ricerca pre-commerciale, indipendentemente dalle finalità ultime del sistema: l’utilizzo della locuzione «non incida altrimenti», utilizzata nel considerando 25 [12], suggerisce infatti che questa seconda esenzione sia destinata a coprire situazioni non contemplate dalla prima, quale clausola di salvaguardia per garantire che non venga pregiudicata l’attività di ricerca e innovazione nella sua fase germinale, anche se la ricerca dovesse essere fin dall’inizio «orientata ai prodotti» («product-oriented research»), ovvero palesi un chiaro intento commerciale [13]. Questa esenzione opera purché l’attività di ricerca e sviluppo prima dell’immissione in mercato rispettino comunque il diritto UE applicabile (norme etiche e professionali condivise nell’ambito della ricerca scientifica, il GDPR, l’EHDS, ecc.), fin tanto che il sistema non sia immesso nel mercato o messo in servizio e comunque non si estende alle «prove in condizioni reali».
Le previste esenzioni sollevano questioni interpretative di notevole rilievo pratico e sistematico.
Un primo elemento di complessità emerge dall’art. 2(6): come detto tale esenzione si applica quando i modelli e i sistemi di IA sono specificamente sviluppati e messi in servizio al solo scopo della ricerca e dello sviluppo scientifico. Sebbene la ratio della disposizione sia chiara, molti studi che ne hanno analizzato il potenziale impatto rispetto a diverse aree di ricerca (compresa quella medica) [14] rendono palese come la formulazione non tenga in dovuta considerazione il fatto che alcune attività nate in un contesto di pura ricerca possano trovare applicazioni pratiche originariamente non pensate e, all’inizio, nemmeno ipotizzabili. Nella pratica della ricerca – ad esempio quella biomedica contemporanea – la frontiera tra ricerca pura e ricerca applicata è necessariamente sfumata. In queste ipotesi, se la mera origine nel contesto della ricerca non sembra sufficiente a giustificare l’esenzione permanente – perché il sistema viene in un secondo momento immesso sul mercato o utilizzato per finalità operative – diventa cruciale comprendere da quale momento in poi debba considerarsi cessata l’applicabilità dell’esenzione e se sia possibile adeguarsi agli obblighi di conformità richiesti nel regime ordinario ex post, dovendo altrimenti desumersi che l’originaria esenzione crea un percorso irreversibile verso la non-commercializzazione del prodotto della ricerca.
Il fatto poi che l’art. 2, par. 8 stabilisca che le «prove in condizioni reali» («testing in real world conditions») non beneficiano delle esenzioni per la ricerca, ma rimangono soggette al Regolamento, pone il problema di capire se tale locuzione sia estesa a ricomprendere anche attività di validazione scientifica effettuata su dataset reali (come spesso accade nella ricerca biomedica), o quando esattamente un’attività di validazione scientifica diventa «prova in condizioni reali».
La sensazione che si trae dalla lettura di queste disposizioni è che l’assenza di requisiti procedurali e sostanziali per perimetrarne l’applicazione rischia di far fuoriuscire dall’esenzione attività di ricerca scientifica “genuine” e, allo stesso tempo, permettere ad imprese commerciali di qualificare come “ricerca” attività di sviluppo sostanzialmente orientate al mercato, ritardando artificiosamente l’applicazione ad esse degli obblighi regolamentari.
Anche il Data Governance Act promuove la condivisione dei dati per finalità di ricerca scientifica e la riconosce come obiettivo di «interesse generale» nel pilastro del data altruism, ma non ne fornisce una definizione esplicita. Il considerando 25 offre tuttavia un’importante indicazione interpretativa nel contesto specifico delle agevolazioni per il riutilizzo di dati detenuti dal settore pubblico, stabilendo che le «finalità di ricerca scientifica» includono ogni scopo legato alla ricerca «indipendentemente dall’assetto organizzativo o dalla struttura di finanziamento dell’entità che conduce la ricerca», con un’unica eccezione: la ricerca «condotta da un’impresa ai fini dello sviluppo, del miglioramento o dell’ottimizzazione di un prodotto o servizio».
L’esclusione riguarda ancora una volta, specificamente, l’attività di ricerca e sviluppo aziendale orientata direttamente e immediatamente alla implementazione e l’ottimizzazione di prodotti o servizi commerciali. Una distinzione che, come già si è avuto modo di rilevare, lascia aperte zone grigie nella ricerca traslazionale, dove confini tra ricerca fondamentale, applicata e sviluppo del prodotto sono spesso sfumati, specialmente nel contesto delle tecnologie digitali applicate alla salute.
Il considerando 16 esprime chiaramente l’intenzione del legislatore europeo di promuovere l’uso dei dati per la ricerca scientifica nel perseguimento di finalità di interesse pubblico, affermando che «la condivisione dei dati è essenziale per la ricerca, l’innovazione e per il conseguimento di obiettivi di interesse generale» e che «il regolamento dovrebbe agevolare il riutilizzo di determinate categorie di dati protetti detenuti da enti pubblici, anche per finalità di ricerca scientifica». L’art. 2(1)(16), definendo il meccanismo dell’altruismo dei dati, sottolinea la necessità che il riutilizzo avvenga «a fini di interesse generale, quali [...] la ricerca scientifica nell’interesse generale». Questa specificazione introduce un elemento qualificativo ulteriore: non ogni ricerca scientifica è automaticamente idonea a beneficiare dei meccanismi di data altruism, ma solo quella che persegue l’interesse generale. Tale formulazione solleva interrogativi interpretativi: l’interesse generale costituisce una caratteristica intrinseca della ricerca scientifica o rappresenta un criterio valutativo esterno? E quali parametri permettono di distinguere la ricerca scientifica nell’interesse generale da quella che, pur essendo scientifica, non rientra in tale categoria?
L’art. 5, par. 11 precisa, altresì, che «Quando i dati sono riutilizzati per scopi di ricerca scientifica, il riutilizzo avviene nel rispetto delle norme e degli obblighi etici riconosciuti, quali le revisioni etiche». Questa disposizione, pur non definendo il perimetro della ricerca scientifica, ne subordina la legittimità al rispetto di salvaguardie etiche, collegando implicitamente il concetto di ricerca scientifica alla sua conformità con standard etici consolidati [15]. Nel contesto della ricerca medica mediante nuove tecnologie, tale riferimento assume particolare rilevanza, suggerendo che la qualificazione come “ricerca scientifica” non dipende esclusivamente da criteri metodologici o organizzativi, ma anche dalla conformità a protocolli di controllo etico-procedurale.
Un modello di tipo definitorio è, invece, quello adottato dalla Direttiva 2019/1024/UE (Open Data) [16] che, pur non precisando cosa si intenda per ricerca scientifica, fornisce una definizione specifica dei «dati della ricerca» (research data) quali «documenti in formato digitale, diversi dalle pubblicazioni scientifiche, raccolti o prodotti nel corso di attività di ricerca scientifica e usati come prove nel processo di ricerca, o comunemente accettati nella comunità di ricerca come necessari per convalidare i risultati» (art. 2(1)(9)). Stando al considerando 27 della stessa, «sono dati della ricerca, per esempio, le statistiche, i risultati di esperimenti, le misurazioni, le osservazioni risultanti dall’indagine sul campo, i risultati di indagini, le immagini e le registrazioni di interviste, oltre a metadati, specifiche e altri oggetti digitali». La Direttiva sottolinea inoltre che i dati della ricerca sono «diversi dagli articoli scientifici, in cui si riportano e si commentano le conclusioni della ricerca scientifica sottostante», operando così una chiara distinzione tra dati primari e prodotti della ricerca.
Questa definizione si focalizza sulla natura e sulla funzione dei dati (prove empiriche necessarie alla validazione scientifica) piuttosto che sulla struttura organizzativa del soggetto che conduce la ricerca, riflettendo un approccio pragmatico che privilegia l’utilità epistemica dei dati nel processo scientifico.
L’articolo 10 della Direttiva impone agli Stati membri di adottare strategie nazionali volte a rendere solo «i dati della ricerca finanziata con fondi pubblici liberamente accessibili (“politiche di libero accesso”), secondo il principio dell’accesso aperto per impostazione predefinita e in linea con i principi FAIR» [17].
La scelta di ancorare l’obbligo di open access al criterio del finanziamento pubblico delinea una concezione selettiva della ricerca scientifica rilevante ai fini della Direttiva: il regime degli open data si applica prioritariamente ai dati prodotti da ricerca interamente finanziata con fondi pubblici, sollevando interrogativi sulla collocazione dei dati generati da modelli di finanziamento misto pubblico-privato, sempre più diffusi, specie nel settore biomedico. Il considerando 28 riconosce questa complessità, estendendo gli obblighi della Direttiva anche ai «dati della ricerca derivanti da attività di ricerca scientifica sovvenzionate con fondi pubblici o cofinanziate da soggetti del settore pubblico e privato», pur rimettendo al par. 2 dell’art. 10 la precisazione che «viene tenuto conto degli interessi commerciali legittimi, delle attività di trasferimento di conoscenze e dei diritti di proprietà intellettuale preesistenti» [18]. Rimangono invece integralmente esclusi dal regime degli open data tutti i dati prodotti da ricerca finanziata esclusivamente con fondi privati, indipendentemente dal rigore metodologico, dalla rilevanza scientifica o dall’utilità sociale di tale ricerca.
Anche la Direttiva 2019/790/UE sul diritto d’autore e i diritti connessi nel mercato unico digitale costituisce un tassello significativo nell’indagine in corso, specie per quanto riguarda la ricerca finanziata con fondi pubblici. Gli artt. 3 e 4 della Direttiva prevedono infatti eccezioni obbligatorie al diritto d’autore e ai diritti sui generis delle banche dati per consentire le attività di text and data mining (di seguito, “TDM”) definito dall’art. 2 come «qualsiasi tecnica di analisi automatizzata volta ad analizzare testi e dati in formato digitale avente lo scopo di generare informazioni inclusi, a titolo non esaustivo, modelli, tendenze e correlazioni» [19].
Il legislatore europeo ammette l’attuale importanza strategica di queste tecnologie nella ricerca al considerando 8 della Direttiva, lì dove afferma che «le tecnologie di estrazione di testo e di dati, peraltro assai diffuse in tutta l’economia digitale, possono arrecare beneficio in particolare alla comunità di ricerca e, in tal modo, sostenere l’innovazione». È un riconoscimento importante del fatto che la ricerca contemporanea è inscindibilmente legata alla capacità di processare grandi volumi di dati.
La Direttiva opera, di conseguenza, una distinzione fondamentale tra due regimi di TDM: l’articolo 3 prevede un’eccezione specifica e più ampia per le riproduzioni e le estrazioni – altrimenti rilevanti ai sensi della disciplina sul diritto d’autore e del diritto sui generis sulle banche dati – effettuate da organismi di ricerca e istituti di tutela del patrimonio culturale per scopi di ricerca scientifica, di testo e di dati da opere o altri materiali cui essi hanno legalmente accesso; è una eccezione obbligatoria e imperativa che non può essere derogata contrattualmente né esclusa unilateralmente dai titolari dei diritti.
L’art. 4 prevede invece un’eccezione più generale per il TDM, applicabile a qualsiasi soggetto (quindi anche aziende private, startup, individui), ma soggetta al meccanismo di opt-out da parte dei titolari dei diritti che possono riservarsi l’esclusiva sulle attività di TDM.
Questa architettura binaria crea un regime privilegiato per gli «organismi di ricerca», che possono estrarre testi e dati senza che i titolari dei diritti (d’autore e sui generis) possano opporsi, e un regime più flessibile ma meno protetto per tutti gli altri soggetti; la qualificazione come «organismo di ricerca» diventa quindi cruciale per determinare quale regime applicare. L’art. 2, par. 1, afferma che per «organismo di ricerca» si intendono «un’università, comprese le relative biblioteche, un istituto di ricerca o qualsiasi altra entità il cui obiettivo primario sia condurre attività di ricerca scientifica oppure condurre attività didattiche che includano altresì attività di ricerca scientifica». L’ente così individuato deve altresì soddisfare almeno una delle seguenti condizioni alternative: deve (a) operare senza scopo di lucro, cioè dimostrare di non avere finalità commerciali o di reinvestire tutti gli utili nella propria attività di ricerca scientifica, oppure (b) operare con una finalità di interesse pubblico che deve essere riconosciuta da uno Stato membro.
In entrambi i casi, deve essere verificata una condizione negativa essenziale: che «non sia possibile l’accesso su base preferenziale ai risultati generati da detta ricerca scientifica da parte di un’impresa che esercita un’influenza determinante su tale organismo». Condizione, quest’ultima, destinata a palesarsi particolarmente problematica in quanto il considerando 8 della Direttiva chiarisce che «le organizzazioni sulle quali le imprese commerciali esercitano un’influenza determinante che consente loro di esercitare un controllo grazie a situazioni strutturali, ad esempio in qualità di azionisti o soci, che potrebbero tradursi in un accesso preferenziale ai risultati della ricerca, non dovrebbero essere considerate organizzazioni di ricerca ai fini della presente direttiva».
Una previsione che, dunque, è destinata a creare un problema strutturale per la ricerca contemporanea, specie in ambito sanitario, dove le collaborazioni pubblico-privato sono non solo frequenti, ma spesso indispensabili.
Il considerando 12 della Direttiva sottolinea la necessità di avere una «visione comune» di cosa sia la ricerca scientifica, identificando come organismi di ricerca qualsiasi «università o altri istituti di istruzione superiore e le loro biblioteche, nonché enti quali istituti di ricerca e ospedali». L’inclusione degli ospedali è particolarmente rilevante perché, pur essendo gli stessi primariamente istituzioni di cura, svolgono anche attività di ricerca scientifica e devono poter beneficiare del regime agevolato per il TDM.
La breve indagine condotta rende evidente la difficoltà di individuare un perimetro definito – o meglio predefinito – al concetto di “ricerca scientifica”; una difficoltà che, purtroppo, genera diversi ordini di problemi, quali: l’incertezza applicativa della normativa di stampo derogatorio prevista per la ricerca scientifica; il rischio di arbitrio interpretativo, legato al rinvio alle letture fornite da autorità e altri organismi di controllo nazionali che, in quanto difformi, possono frammentare il mercato unico dei dati e determinare l’effetto del forum shopping; un potenziale impatto sistemico sull’innovazione che può subire una grave battuta di arresto per mancanza di investimenti in settori strategici dove il confine tra ricerca di base, sviluppo sperimentale e applicazione commerciale è particolarmente labile.
Volendo provare a fare chiarezza, non resta che interrogarsi sul quali sono i punti di maggior tensione che la lettura delle norme rileva.
Uno dei temi centrali è quello che riguarda la distinzione tra ricerca pubblica e privata, rispetto al quale sembra nella sostanza superata una prima linea interpretativa – sostenuta da parte della dottrina e da alcune Autorità di controllo – tesa a limitare la nozione di ricerca scientifica destinata a godere del regime giuridico differenziato alle sole attività condotte da enti pubblici o senza scopo di lucro nell’interesse generale della collettività. Una impostazione sostenuta in ragione del fatto che storicamente la ricerca scientifica è stata appannaggio di università ed enti pubblici, ma soprattutto finalizzata ad impedire alle imprese commerciali di invocare il fine della ricerca per sottrarsi agli obblighi del GDPR.
Il Garante Europeo per la Protezione dei Dati (EDPS) ha pubblicato nel gennaio 2020 un documento intitolato “A Preliminary Opinion on data protection and scientific research” nel quale, partendo dalla constatazione che il GDPR adotta una concezione ampia di ricerca nel considerando 159, afferma che «non solo i ricercatori accademici ma anche organizzazioni senza scopo di lucro, istituzioni governative o società commerciali orientate al profitto possono svolgere ricerca scientifica». Tuttavia, l’EDPS introduce dei criteri che “contengono” questa apertura, affermando che le regole stabilite dal GDPR in materia di ricerca scientifica si applicano solo se (i) vengono trattati dati personali, (ii) si applicano standard pertinenti di metodologia ed etica, e (iii) la ricerca non è condotta per interessi privati, ma esclusivamente al fine di aumentare la conoscenza condivisa e migliorare la salute pubblica.
L’EDPS specifica altresì che, quando la base giuridica del trattamento è la «necessità per l’esecuzione di un compito di interesse pubblico», il trattamento dovrebbe rispondere a una «pressante necessità sociale», piuttosto che essere effettuato principalmente per guadagno commerciale («According to European case law, necessity and the public interest imply a ‘pressing social need’, as opposed to largely private or commercial advantages»), lasciando tuttavia intendere che il guadagno commerciale non è incompatibile con la base giuridica dell’“interesse pubblico” nel contesto della ricerca scientifica, purché lo scopo del trattamento non sia quello in prevalenza di produrre vantaggi privati o commerciali.
Si passa così ad un altro nodo critico: quello che riguarda la distinzione tra ricerca scientifica che persegue l’avanzamento della conoscenza e attività di ricerca destinata al solo sviluppo commerciale.
Volendo abbracciare una nozione funzionale di ricerca scientifica, ci si chiede infatti se si possa – e se sia opportuno – distinguere tra diverse tipologie di ricerca – sulla falsariga di quelle proposta dall’OCSE nel c.d. Manuale di Frascati [20] – al fine di selezionare quelle cui applicare il regime derogatorio previsto dalla normativa sui dati.
In tal senso, sfruttando il suggerimento di alcune autorità – come quella tedesca (DSK) nelle Linee Guida del 2018 – si tende a considerare ricerca scientifica legittima solo l’attività volta a migliorare lo stato delle conoscenze, a prescindere dalle applicazioni successive: «La ricerca scientifica comprende tutti i processi di ricerca condotti secondo metodi scientifici riconosciuti, indipendentemente dall’organizzazione che li conduce, purché mirati al progresso sistematico delle conoscenze».
Un’interpretazione alternativa ritiene che la ricerca scientifica debba essere invece identificata in base a criteri metodologici (peer review, pubblicazione risultati, riproducibilità, rigore scientifico) e non soggettivi, prescindendo dalla natura giuridica del soggetto che la conduce.
Questo criterio, nel distinguere nettamente la ricerca (orientata alla condivisione del sapere) da innovazione commerciale (orientata al segreto industriale), dovrebbe garantire trasparenza e verificabilità dei metodi, posto che, se i risultati non vengono pubblicati, ciò può far presumere l’assenza di una finalità scientifica. È però opportuno sottolineare come molte ricerche scientifiche non producono pubblicazioni immediate (ricerche negative, progetti pluriennali); peraltro, una tale impostazione potrebbe spingere a pubblicare paper solo per ottenere deroghe GDPR, non per il reale contributo scientifico. Inoltre, esistono ambiti di ricerca legittima dove la riservatezza è non solo giustificata ma necessaria: pensiamo alla ricerca su vulnerabilità di sicurezza informatica o a certi studi epidemiologici che trattano dati particolarmente sensibili. In questi casi, la mancata pubblicazione immediata non inficia affatto la natura scientifica dell’indagine.
Di fronte all’impossibilità di una definizione onnicomprensiva di “ricerca scientifica”, il diritto europeo dovrebbe di conseguenza orientarsi verso un approccio procedurale e contestuale, elaborando un sistema di indicatori, nessuno di per sé determinante, ma che nell’insieme sia in grado di consentire una valutazione più realistica.
«In sostanza, la definizione di scienza e del fondamento scientifico non può essere rimessa all’individuo o a gruppi di individui che ne rivendicano l’accesso ma deve essere accertata secondo i criteri e le procedure espressamente individuati e condivisi dalla comunità scientifica» [21].
Allo stesso tempo sarebbe necessario rafforzare il ruolo di organismi tecnici specializzati – sul modello degli Health Data Access Bodies previsti dall’EHDS –, dotati di competenze interdisciplinari (scientifiche, informatiche, etiche, giuridiche) capaci di valutazioni caso per caso che tengano conto della specificità dei diversi settori di ricerca, e produrre linee guida settoriali elaborate congiuntamente dall’EDPB con il coinvolgimento di comunità scientifiche, organismi di ricerca e rappresentanti dell’industria. Prevedere meccanismi di revisione periodica delle interpretazioni adottate, alla luce dell’evoluzione delle pratiche di ricerca e delle tecnologie disponibili.
Chiaramente non stiamo parlando solo di questioni tecnico-giuridiche, ma di scelte di politica del diritto fondamentali: quale modello di produzione della conoscenza vogliamo favorire? Come bilanciare la protezione dei diritti individuali con l’interesse collettivo al progresso scientifico? Quale spazio riconosciamo all’iniziativa privata nella ricerca, e a quali condizioni?
L’incertezza di cui abbiamo discusso riflette, in fondo, la difficoltà di esprimere risposte condivise, sul piano sociale e politico, a questi interrogativi di fondo. Ma riflette anche, più profondamente, dinamiche strutturali di potere nella produzione e nel controllo della conoscenza scientifica.
Recenti studi [22] hanno reso evidente come i dati della ricerca rappresentano uno degli asset del nuovo “capitale” che, proprio attraverso l’uso di strumenti giuridici quali la proprietà intellettuale e il controllo de facto derivante dalla titolarità delle infrastrutture digitali di ricerca, dagli algoritmi di elaborazione dei dati, dalle piattaforme di pubblicazione scientifica, viene trasformato in capitale privato [23]. Emerge qui la dimensione costitutiva del diritto nell’economia della conoscenza: non si tratta semplicemente di regolare ex post un mercato della ricerca che si sviluppa spontaneamente, ma di comprendere come le norme giuridiche – o la loro assenza – creino attivamente le condizioni per l’appropriazione privata della conoscenza scientifica.
Si comprende dunque appieno come ogni architettura di regole destinata a disciplinare l’uso dei dati non solo incida strutturalmente sulla stessa attività di ricerca scientifica, orientandone pratiche, tempi ed esiti, ma come essa diventi cruciale per determinare chi controlla la conoscenza e – in ultima analisi – chi decide le priorità della ricerca e dell’innovazione nei diversi settori.
[1] «La ricerca rappresenta un presupposto ineludibile per assicurare lo sviluppo della conoscenza e, più in generale, il progresso della scienza. Essa è anche il motore primo dei cambiamenti sociali con dirette ricadute sulla collettività, sulla qualità della nostra vita, sui processi formativi delle nuove generazioni», così P. Guarda, Il regime giuridico dei dati della ricerca scientifica, Università degli Studi di Trento, 2021, 39.
[2] Lo Stato si impegna non solo a tutelare la libertà della ricerca scientifica, ma anche a promuoverne lo sviluppo.
[3] «La Repubblica promuove lo sviluppo della cultura e la ricerca scientifica e tecnica. Tutela il paesaggio e il patrimonio storico e artistico della Nazione».
[4] «L’arte e la scienza sono libere e libero ne è l’insegnamento».
[5] A. Meiring-S. Yakovleva-L. Irion-J. Van Hoboken et al, Information law and the digital transformation of the university. Part I. Digital sovereignty. Institute for Information Law, 2023, 1 ss., reperibile all’indirizzo www.ivir.nl.
[6] Ciò significa che per il medesimo titolare del trattamento non è necessario ottenere un nuovo consenso o individuare una nuova base giuridica quando dati già raccolti per altri scopi vengono successivamente utilizzati per ricerca scientifica, purché siano rispettate le garanzie di cui all’art. 89.
[7] L’articolo 9 vieta, in via generale, il trattamento di categorie particolari di dati personali (i cc.dd. “dati sensibili”), quali quelli relativi all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose, ai dati genetici, biometrici, relativi alla salute o alla vita sessuale.
[8] L. Paseri, Defining Scientific Research Within the EU’s Politics of Data: The Impact on Personalized Smart Medicine, in F. Casarosa-F. Gennari-A. Rossi (eds.), Enabling and Safeguarding Personalized Medicine, Springer, 2025,11 ss.
[9] A. Bernes, La protezione dei dati personali nell’attività di ricerca scientifica, in Nuove Leggi Civ. Comm., 2020, 188, nota 54; Id., Dati e ricerca genetica. Dalla tutela individuale alla gestione procedurale, in BioLaw Journal – Rivista di BioDiritto, 1-S, Special issue Missing persons e nuove tecnologie tra antropologia forense e diritto, 2022, 71.
[10] Organismi che in ragione di quanto previsto dall’art. 55 dello stesso Regolamento, ciascuno Stato membro deve designare al precipuo scopo di renderli responsabili dell’accesso ai dati sanitari, affinché valutino, caso per caso, la legittima delle richieste, sulla base delle finalità dichiarate e le garanzie prestate dagli enti richiedenti.
[11] I sistemi di IA sviluppati con dati sanitari debbano comunque rispettare i requisiti dell’AI Act quando immessi sul mercato; in particolare se l’IA rientra nel perimetro MDR/IVDR (dispositivo medico o componente di sicurezza), in pratica sarà high-risk ai sensi dell’AI Act (art. 6), con doppia conformità: MDR/IVDR + requisiti AI Act (data governance, gestione del rischio, qualità, trasparenza/istruzioni d’uso, human oversight, logging, post-market). I due regimi sono complementari secondo il modello.
[12] «È inoltre necessario garantire che il regolamento non incida altrimenti sulle attività scientifiche di ricerca e sviluppo relative ai sistemi o modelli di IA prima dell’immissione sul mercato o della messa in servizio» (considerando 25, reg. IA).
[13] «Per quanto riguarda le attività di ricerca, prova e sviluppo orientate ai prodotti relative ai sistemi o modelli di IA, le disposizioni del presente regolamento non dovrebbero nemmeno applicarsi prima che tali sistemi e modelli siano messi in servizio o immessi sul mercato» (considerando 25, reg. IA).
[14] M. Fasan, Intelligenza artificiale e ricerca medica, riflessioni a margine dell’AI Act, in Ricerca in sanità e protezione dei dati personali, a cura di E. Chizzola, P. Guarda, V. Maroni, L. Ruffo, Napoli, 2024, 87 ss.
[15] Sul punto diffusamente S. Leonelli, La ricerca scientifica nell’era dei big data, Meltemi, 2018.
[16] R. Caso, Open data, ricerca scientifica e privatizzazione della conoscenza, in Dir. inf., 2022, 815 ss.
[17] I principi FAIR, sviluppati dalla comunità scientifica, sono una serie di linee guida che mirano a fornire una base comune per garantire una buona gestione dei dati di ricerca dal punto di vista tecnico. FAIR è un acronimo che sta per Findable (i dati devono essere facilmente identificabili e rintracciabili attraverso metadati ricchi e identificatori persistenti), Accessible (i dati devono essere accessibili attraverso protocolli standard e aperti, con chiare condizioni di accesso); Interoperable (i dati devono utilizzare formati e vocabolari standard che permettano l’integrazione con altri dataset); Reusable (i dati devono essere accompagnati da licenze chiare e metadati dettagliati che ne permettano il riutilizzo).
[18] L. Paseri, Scienza aperta. Politiche europee per un nuovo paradigma della ricerca, Mimesis, 2024, passim.
[19] R. Caso, Il conflitto tra diritto d’autore e ricerca scientifica nella disciplina del text and data mining della direttiva sul mercato unico digitale, in Dir. ind., 2020, 118 ss.
[20] Nel 1963 a Frascati una conferenza dell’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) portò alla prima edizione del documento metodologico denominato Manuale di Frascati destinato alla definizione e misurazione delle attività di ricerca e sviluppo (R&S). Sebbene il Manuale di Frascati sia primariamente uno strumento statistico ed economico, esso ha acquisito rilevanza anche in ambito giuridico perché: la normativa europea sugli aiuti di Stato alla ricerca e sviluppo (Comunicazione della Commissione 2014/C 198/01) utilizza esplicitamente le definizioni del Manuale di Frascati per distinguere tra ricerca fondamentale, ricerca industriale e sviluppo sperimentale; diverse normative nazionali sui crediti d’imposta per R&S e sui finanziamenti pubblici alla ricerca fanno riferimento alle categorie del Manuale; Regolamenti europei come il Data Act, quando devono definire cosa sia un «organismo di ricerca», rinviano implicitamente o esplicitamente alle categorie del Manuale di Frascati. Il modello lineare che postula una netta separazione tra ricerca fondamentale, ricerca applicata e sviluppo sperimentale – ancorché ancora presente nel Manuale di Frascati – non riflette più la realtà di settori come le scienze della vita, l’intelligenza artificiale o la scienza dei materiali, dove questi momenti si sovrappongono e si alimentano reciprocamente in modo dinamico.
[21] G. D’Amico, Verso il riconoscimento di un diritto alla scienza, in Diritti fondamentali.it, 2019,17.
[22] K. Pistor, The Code of Capital, Princeton University Press, 2019.
[23] R. Caso, Open data, ricerca scientifica e privatizzazione della conoscenza, cit., passim.
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 2421-2563 - Jus Civile (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
