[doc. web n. 10149917]

Provvedimento del 21 maggio 2025

Registro dei provvedimenti
n. 287 del 21 maggio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività ispettiva

In data XX e XX è stato svolto un accertamento ispettivo presso la società Menarini Silicon Biosystems SpA, (di seguito Società o MSB), al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali nei trattamenti per scopi di ricerca scientifica, anche attraverso strumenti di intelligenza artificiale, con specifico riguardo ai presupposti di liceità, agli obblighi informativi e alle misure di pseudonimizzazione (art. 58, par. 1, lett. a), e) ed f) del Regolamento; artt. 157 e 158 del decreto legislativo n. 30 giugno 2003, n. 196, Codice; artt. 21 e 22 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali; ordine di servizio n. XX del XX).

La Società è nata attorno ad una tecnologia che consente l’isolamento e la successiva analisi di cellule dal sangue di pazienti tumorali. “Si tratta di una realtà molto peculiare e sui generis nell'ambito life science, in quanto è dedicata alla ricerca e sviluppo di tecnologie ed applicazioni relative principalmente alle Cellule Tumorali Circolanti (CTC) per la Liquid Biopsy, in particolare per l’arricchimento, la conta, l’isolamento e l'analisi di cellule rare. Le tecnologie sviluppate da MSB sono finalizzate a fornire informazioni partendo dall'analisi di campioni di sangue (raccolti tramite un semplice prelievo) piuttosto che da campioni di tessuti (la cui raccolta, al contrario, richiede procedure invasive, rischiose e/o dolorose per i pazienti)” (memoria difensiva del XX).

In sede istruttoria sono state, in particolare, illustrate le modalità di funzionamento del tool denominato CellFind -di cui l’Ufficio ha appreso dal sito internet della Società-, chiarendo che “si tratta di un software (research use only) che analizza immagini di cellule al fine di operarne la classificazione, da impiegarsi sia per attività di ricerca della società stessa nell’ambito oncologico che per la vendita a soggetti terzi. Il tool allo stato non è classificato né autorizzato come dispositivo medico ai sensi della normativa di settore, di cui al reg. EU 2017/746, ma la società non esclude di avviare una procedura in tal senso in futuro”.

Il CellFind è quindi attualmente un prodotto, non oggetto di brevetto, disponibile per la vendita, esito di una attività di “sviluppo tecnologico” sperimentale. Al tal fine, la società ha quindi definito uno specifico progetto, [...], nell’ambito del quale sono indicati tra l’altro i tipi di campioni necessari per lo sviluppo del prodotto. [...].

Più nel dettaglio, è stato rappresentato che “il software CellFind riceve immagini di cellule associate ad un paziente contrassegnato da un identificatore unico. [...]. Il CellFind le elabora per identificare le cellule tumorali. [...] Generalmente è l’operatore che analizza le immagini, le classifica e genera un report sulla presenza e numero di cellule tumorali. Nel caso del CellFind la classificazione viene eseguita in automatico. La classificazione è poi oggetto di verifica da parte dell’operatore che opzionalmente può modificare la classificazione del CellFind”. In particolare, “il CellFind opera attraverso una rete di deep learning addestrata allo stato per distinguere le cellule tumorali dalle altre cellule”.  

Secondo quanto di seguito più diffusamente illustrato, è emerso che la Società ha già sviluppato il CellFind per la classificazione di alcune specifiche patologie oncologiche mentre è attualmente in fase progettuale l’uso del tool per altre patologie. 
Nello specifico “Il prodotto CellFind per l’analisi dei tumori metastatici della mammella, prostata e colon retto è già sviluppato e gode di una accuratezza nella classificazione delle immagini nell’ordine del 96%-98% [...].

Per l’addestramento della rete alla classificazione dei primi tre tumori considerati la società si è avvalsa prevalentemente di una società interna al gruppo stabilita in America (Menarini Silicon Biosystems Inc.) che ha fornito i dati di training. Su tali dati la società Americana interviene preliminarmente rimuovendo il codice pseudonimo attribuito a pazienti arruolati in studi clinici condotti dalla medesima società americana del gruppo (o da quelle da cui essa deriva), sostituendolo con uno randomico non associato al paziente”. In particolare, i dati consistono in un insieme di immagini in fluorescenza senza ulteriori riferimenti temporali. I dati utilizzati nella fase progettuale sono risalenti a circa 10 anni fa, mentre nella fase di validazione sono state anche acquisite immagini più recenti dalla medesima società americana.

Quello in corso è invece un progetto volto a consentire l’uso del CellFind su pazienti affetti da mieloma multiplo. In tal caso, per l’addestramento della rete si prevede l’uso di immagini di cellule provenienti da circa 200 pazienti [ dato rettificato in sede istruttoria] dai quali saranno estratte circa dalle 50.000 alle 100.000 immagini.

“Al fine di estendere l’applicabilità del CellFind al mieloma multiplo, la società sta procedendo altresì alla raccolta di dati di carattere personale, seppure pseudonimizzati, attraverso una società bulgara. [...] previa valutazione di impatto ai sensi dell’art. 35 del Regolamento, le immagini utilizzate per l’addestramento della rete alla classificazione delle immagini relative a questo ultimo tumore sono state acquisite, previo informativa e consenso degli interessati, per il tramite di un fornitore [...], una società, designata responsabile del trattamento ai sensi dell’art. 28 del Regolamento, stabilita in Bulgaria” [...] (la Società ha trasmesso in atti il Data Process agreement, stipulato, ai sensi dell’art. 28 del Regolamento con la predetta società con i suoi vari emendamenti).

“Ogni campione è accompagnato da un codice riferito a ciascun paziente necessario a fini di sicurezza, qualità del dato e per attestare che esso sia veramente correlato ad un paziente. Una volta acquisito, il dato è soggetto ad un processo di ricodifica che non esclude comunque la possibilità di risalire all’interessato in caso di necessità, ivi inclusi eventuali vincoli regolatori rilevanti per una futura certificazione del tool quale dispositivo medico ad uso diagnostico, allo stato non prevista né esclusa dalla società. Per tale motivo, essa intende procedere alla conservazione dei dati raccolti [...]”.
[...] Il tempo di conservazione sarebbe definito nell’ottica della futura certificazione del prodotto come dispositivo medico, come spesso accade nelle procedure relative ai dispositivi medici innovativi”.

La Società ha rappresentato, inoltre, che “l’algoritmo del CellFind è “locked”, con ciò indicando che eventuali acquirenti del tool non possono proseguire nell’addestramento della rete e nella modifica dei parametri della rete neurale”.

In sede ispettiva sono poi stati verificati, tramite accesso, i tracciati dei file di dati acquisiti dalla società americana (Menarini Silicon Biosystems Inc.) del gruppo o dalle relative dante causa, nei quali ogni singolo record reca un codice che identifica la cartuccia contenente il campione biologico. Ogni record del file contiene immagini estratte da tale campione biologico, su queste immagini non vengono operate delle modifiche.

L’identificativo attribuito al record alla fonte del dato è ignoto alla MSB. Su di esso la società americana opera un’ulteriore codifica crittografica unidirezionale che genera un codice (privo di alcuna valenza semantica) non reversibile neanche per tale ultima società. MSB riceve i dati in tale formato; i record e le immagini mostrate dalla parte non recano altri identificativi.

Sono state verificate altresì le immagini tratte dai campioni biologici acquisiti attraverso la società Bulgara responsabile del trattamento ai sensi dell’art. 28 del Regolamento [...]. A ogni record è associato un codice identificativo alfanumerico riferito ad una cartuccia associata al codice del campione acquisito dalla predetta Società. Tale codice in origine è collegato al codice paziente alla fonte del dato (Ospedale) presso la quale la società responsabile del trattamento raccoglie i campioni.  

2.3 Ulteriori elementi tratti dalla documentazione trasmessa in atti

Un’accurata descrizione del funzionamento CellFind è riportata nella valutazione di impatto svolta dall’Azienda, ai sensi dell’art. 35 del Regolamento (VIP), per il trattamento dei dati necessari al suo sviluppo dalla quale, ad integrazione di quanto già sopra riportato, si ricavano ulteriori specifiche indicazioni in ordine a:

“4) Allenamento dell'algoritmo

Le immagini presenti su GCP vengono utilizzate per allenare l'algoritmo CellFind a riconoscere e contare le cellule di interesse. L'algoritmo è installato su macchina virtuale residente su GCP.

5) Testing dell'algoritmo

Una volta che l'algoritmo è stato addestrato, viene testato attraverso nuove immagini, già presenti su GCP. L'output è un report comprensivo della conta delle cellule di interesse.

6) Validazione dell'algoritmo

Un team di esperti confronta i risultati del processo di riconoscimento e conteggio delle cellule effettuato da CellFind con quello effettuato manualmente, e valida il funzionamento dell'algoritmo secondo adeguate procedure determinate da standard di settore, quali, ad esempio, quelli elaborati dal Clinical Laboratory Standards Institute”.

I vari output del processo (es. tabelle, presentazioni, o piani di validazione in draft) sono archiviati in cartelle condivise, protette da doppio fattore di autenticazione accessibili ai team che hanno necessità di accedervi.

In relazione ai tempi di conservazione è indicato che “i dati sono conservati per il tempo necessario al perseguimento delle finalità per le quali è stato rilasciato il consenso e successivamente conservati per un tempo non superiore a 25 anni. Tale termine è calcolato sulla base del ciclo vita del prodotto (5 anni per sviluppo, 15 anni per commercializzazione, 5 anni per dismissione). Il termine può inoltre essere prolungato se necessario per adempiere ad obblighi normativi (es., ai sensi dell’art. 10 co. 7 Reg. UE 2017/746, che prevede la conservazione dei dati del fascicolo per un periodo di 10 anni dall’immissione sul mercato dell’ultimo dispositivo oggetto della dichiarazione di conformità UE, se superiore al primo termine).

2. Violazioni contestate

Sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva nonché delle successive valutazioni svolte, l’Ufficio- con atto del XX (prot. n. XX) -che qui deve intendersi integralmente riprodotto- ha avviato, ai sensi dell’art. 166, comma 5 del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della MSB, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7 del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto l’Ufficio ha notificato alla Società che risulta accertato che i trattamenti di dati personali svolti per l’addestramento dell’algoritmo del tool CellFind, per l’analisi e la classificazione delle cellule tumorali del mieloma multiplo, sono stati realizzati in violazione del principio di trasparenza, nonché del conseguente obbligo di rendere un’informativa esatta e completa agli interessati, dei principi di limitazione della finalità, limitazione della conservazione e di responsabilizzazione; la contestazione della violazione di tale ultimi principio concerne altresì il mancato svolgimento di compiute valutazioni in ordine al rischio di reidentificazione degli interessati nell’ambito dei dati raccolti presso la società americana del gruppo Menarini, Menarini Silicon Biosystems inc. (artt. 5, par. 1, lett. a), b), e), e par. 2; 13 Regolamento).

3. Memorie difensive

Con nota del XX, la Società ha fatto pervenire le proprie memorie difensive, non chiedendo di essere sentita in audizione, ai sensi dell’art. 166, comma 5 del Codice.

3.1. Sul principio di limitazione della finalità

Con la contestazione del principio di limitazione della finalità (art. 5, par. 1 lett. b) del Regolamento), l’Ufficio, avendo rilevato che, a differenza di quanto emerso in sede ispettiva, la documentazione trasmessa (in particolare l’informativa e la valutazione di impatto) indica che i dati sono destinati ad essere trattati per scopi di ricerca scientifica, ha osservato altresì che la Società include nel trattamento una finalità eventuale, ossia quella di avviare la procedura per la classificazione e autorizzazione del tool come dispositivo medico ai sensi della normativa di settore, di cui al reg. EU 2017/746. Seppur descritto come meramente eventuale tale ulteriore scopo di trattamento è apparso tale da condizionare la determinazione dei tempi di conservazione dei dati.

L’Ufficio ha rilevato, inoltre, che nell’informativa resa agli interessati all’atto della raccolta dei campioni biologici e dei dati genetici e sulla salute, la Società indica che i dati sono trattati per due finalità che sono apparse disgiunte e alternative e non espressamente riferite alla patologia del mieloma multiplo:

i) developing a new instrument (“Product”) able to enrich and stain Circulating Tumor Cells in order to count them. […].;

ii) developing algorithms using machine learning technology for image analysis that support the healthcare professionals in the diagnosis or prognosis determination by introducing faster and easier methods for tumor cell identification.

È stato ritenuto, pertanto, che lo scopo del trattamento, per come descritto nell’informativa e nella documentazione in atti, difettasse della necessaria specificità e completezza. Ciò, tenuto anche conto che, pur conoscendo la Società la specifica patologia oncologica per la classificazione delle cellule della quale verrà addestrato l’algoritmo del sistema CellFind, essa non è espressa, né si rinvengono specifici riferimenti alla circostanza che il tool potrebbe essere destinato anche alla vendita a soggetti terzi, pur rappresentata in sede ispettiva.

A tale riguardo, nelle proprie memorie difensive la Società ha rappresentato che quelle dello sviluppo del prodotto (“Product”) e degli algoritmi (“algorithms”) rappresentano due fasi integrate di un medesimo sistema di analisi, finalizzato a consentire il conteggio automatizzato delle cellule tumorali circolanti.

Più dettagliatamente, MSB è proprietaria di uno specifico sistema di analisi, che richiede una fase di arricchimento e marcatura delle cellule presenti nei campioni di sangue, prodromica alla successiva fase di conteggio manuale delle cellule tumorali da parte di un operatore.

MSB ha precisato, inoltre, che “la specificità della patologia era già nota agli interessati” nella misura in cui “l’informativa fornita agli interessati fa riferimento alla patologia tumorale da cui essi sono affetti, con la dicitura “your disease”. Il trattamento dei dati è dunque circoscritto alla ricerca sulle cellule tumorali dei pazienti, e nel caso specifico riguarda il mieloma multiplo, poiché i campioni oncologici acquisiti” [...] “sono stati prelevati da pazienti affetti solo da tale patologia”.

È stato rappresentato, inoltre, che “per quanto riguarda i campioni di donatori sani, il loro utilizzo è limitato a finalità di controllo, come specificato nell’informativa, la quale riporta che “The Project also entails the use of samples by healthy donors, as controls, to ensure the new techniques only provide reliable data. This is the reason why also healthy volunteers will be asked to participate”. Nella sezione relativa all’utilizzo secondario, inoltre, l’informativa chiarisce che il trattamento è effettuato “to further improve the diagnostic techniques related to the Project”: l’uso dei campioni resta quindi circoscritto a tali ambiti definiti”.

Su tali basi, la Società ha ritenuto pertanto che, conformemente all’art. 13, paragrafo 4, del GDPR, non fosse “necessario ripetere l’indicazione della specifica patologia all’interno dell’informativa, trattandosi di un dato già noto agli interessati”, dimostrandosi comunque disposta sin da subito a modificare l’informativa se richiesto dell’Autorità.

Infine, in merito alla mancata menzione della possibile vendita del tool CellFind a terzi, MSB ha precisato che CellFind verrebbe commercializzato senza includere dati personali e senza la possibilità di ulteriore addestramento da parte di soggetti esterni. Pertanto, la Società ha indicato che questa circostanza non comporta alcuna modifica alle finalità o alle modalità di trattamento dei dati personali già descritte nell’informativa e, di conseguenza, non rientra tra le informazioni da fornire ai sensi dell’art. 13 del GDPR.

3.2 Sul principio di limitazione della conservazione

Con la constatazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento), l’Ufficio ha rilevato, in particolare, che MSB in sede ispettiva non ha fornito indicazioni sui tempi di conservazione dei dati trattati per lo sviluppo dell’algoritmo del sistema CellFind, per l’analisi e la classificazione delle cellule del mieloma multiplo, dichiarando, in termini del tutto generali, di gestire un repository dei dati raccolti per l’addestramento del CellFind per eventuali future certificazioni.

E’ stato contestato, inoltre, che l’informativa sul trattamento dei dati personali non indica i tempi di conservazione dei dati se non quelli correlati ad eventuali “additional research projects” [destinati a basarsi su un autonomo e specifico consenso degli interessati] aprioristicamente indicati in 25 anni e che nella valutazione di impatto dei dati sul CellFind, rispetto ai tempi di conservazione, è invece indicato che “I termini individuati tengono conto delle normative applicabili, del ciclo di vita di CellSearch (addestramento, sviluppo, commercializzazione e phase-out)” e che “I dati sono conservati per il tempo necessario al perseguimento delle finalità per le quali è stato rilasciato il consenso e successivamente conservati per un tempo non superiore a 25 anni. Tale termine è calcolato sulla base del ciclo vita del prodotto (5 anni per sviluppo, 15 anni per commercializzazione, 5 anni per dismissione) Il termine può inoltre essere prolungato se necessario per adempiere ad obblighi normativi (es., ai sensi dell’art. 10 co. 7 Reg. UE 2017/746, che prevede la conservazione dei dati del fascicolo per un periodo di 10 anni dall’immissione sul mercato dell’ultimo dispositivo oggetto della dichiarazione di conformità UE, se superiore al primo termine)”.

Al riguardo, MSB ha rappresentato che tali dettagli non sono stati inclusi nell’informativa in quanto, ai sensi dell’art. 13 del GDPR, è necessario e sufficiente indicare il periodo di conservazione ma non esplicitare le motivazioni sottostanti.

Nelle proprie memorie difensive la Società ha rappresentato inoltre che “[...] il paragrafo dell’informativa dedicato alla conservazione dei dati è riferito anche alla finalità primaria, come si evince dalla titolazione dello stesso (“Retention of your data and samples and additional research projects”) nonché dal fatto che l’informazione sul periodo di conservazione si trova in un capoverso separato rispetto alla descrizione degli eventuali trattamenti per finalità di ricerca ulteriore, proprio perché riferito al tempo totale di conservazione dei dati, una volta esauriti l’utilizzo primario e l’eventuale utilizzo ulteriore dei dati (“The data inferred from the test will be retained for as long as needed to complete their analysis and retrospective analysis. Such period of time should not exceed 25 years”).

La Società ha sottolineato quindi come “la finalità “eventuale” di avviare la procedura di classificazione e autorizzazione del tool come dispositivo medico non comporta alcuna proroga del termine di conservazione (25 anni) già stabilito per l’uso primario. Qualora tale procedura venisse effettivamente intrapresa, il trattamento dei dati si svolgerebbe comunque entro il medesimo arco temporale, in conformità al principio di limitazione della conservazione sancito dall’art. 5, par. 1, lett. e) del GDPR. Pertanto, la possibile finalità di certificazione non comporterebbe un prolungamento di tali tempistiche, restando invariato il periodo massimo di 25 anni anche se il progetto dovesse evolvere verso la classificazione come dispositivo medico. Analogamente, qualora la procedura non venisse avviata, i dati saranno comunque conservati entro i limiti e le finalità originarie, senza eccedere tale soglia temporale di conservazione comunicata agli interessati”.

3.3 Sul principio di trasparenza e sull’obbligo di rendere un’informativa idonea

Le circostanze sopra rilevato le incongruenze e alle ulteriori criticità sulle finalità del trattamento e sui tempi di conservazione dei dati hanno portato l’Ufficio a contestare altresì la violazione da parte della Società del principio di trasparenza e dell’obbligo di fornire agli interessati, prima dell’inizio dei trattamenti, un’informativa idonea, secondo quanto di seguito ulteriormente motivato (artt. 5, par. 1, lett. a) e 13 del Regolamento).

Invero, è stata rilevata la generica indicazione dello scopo del trattamento e l’assenza di specifici riferimenti, nell’informativa, alla circostanza che il tool potrebbe essere destinato anche alla vendita a soggetti terzi nonché alla futura classificazione e autorizzazione del tool come dispositivo medico ai sensi della normativa di settore, di cui al reg. EU 2017/746. Nuovamente l’Ufficio ha rilevato, inoltre, come l’informativa nulla dica in ordine ai tempi di conservazione previsti per il solo scopo della raccolta, indicando, come anticipato, solo quelli aprioristicamente definiti per eventuali trattamenti futuri.

A tale riguardo, nelle proprie memorie difensive la Società ha ritenuto di aver predisposto un’informativa conforme alle disposizioni del Regolamento, dimostrandosi comunque pronta a migliorarla. Invero è stato rappresentato che:

“a) pur non riportando espressamente la patologia oncologica (mieloma multiplo), l’informativa non risulta carente, poiché tale informazione è già nota ai pazienti interessati. [...];

b) nonostante l’informativa non menzioni esplicitamente l’eventuale vendita del CellFind a soggetti terzi, MSB chiarisce che tale eventualità non comporta ulteriori trattamenti di dati personali, né l’addestramento dell’algoritmo da parte di soggetti diversi. Di conseguenza, la commercializzazione del tool CellFind non incide sulle finalità e sulle modalità del trattamento già comunicate;

c) l’informativa fornisce un’indicazione generale (25 anni come durata massima), come prescritto dall’art. 13 del GDPR”.

MSB ha fornito infine specifici chiarimenti in merito all’eventuale esistenza di processi decisionali basati su trattamenti automatizzati, inclusa -se del caso- la profilazione (artt. 13 e 22 del Regolamento), precisando che:

“Il sistema “CellFind” – sviluppato nell’ambito del progetto per il mieloma multiplo – è attualmente impiegato unicamente per finalità di ricerca (si tratta, infatti, di un sistema “Research Use Only”, o “RUO”), non essendo registrato come dispositivo diagnostico: ciò significa che lo strumento non può essere utilizzato in procedure diagnostiche.

Ad oggi, l’utilizzo di CellFind non comporta alcun processo decisionale automatizzato, né che sia suscettibile di produrre effetti giuridici o di incidere in modo significativo sugli interessati. Gli output generati dallo strumento sono destinati esclusivamente all’acquisizione di dati di ricerca e non influenzano in alcun modo decisioni mediche o cliniche, incluse quelle relative ai soggetti i cui dati sono stati utilizzati per lo sviluppo del tool CellFind. Il trattamento dei dati ha l’unico scopo di sviluppare, verificare e validare lo strumento. Una volta validato, il tool CellFind potrà essere sottoposto a certificazione come dispositivo medico-diagnostico in vitro (“IVD”), [...]; ma ciò, potrà realizzarsi solo se i risultati saranno tali da sostenere la certificazione. [...] Infine, l’informativa precisa comunque che il progetto era finalizzato a sviluppare tecniche di “machine learning”.

3.4. Sul principio di accountability

Le condotte omissive sopra descritte in relazione alla puntuale definizione e indicazione degli scopi di trattamento nell’informativa, ad una accurata valutazione ed ex ante dei tempi di conservazione dei dati in base allo scopo della raccolta e, nuovamente, alla loro indicazione nell’informativa hanno infine portato l’Ufficio a rilevare un atteggiamento non sufficientemente responsabile da parte della Società, con la conseguente contestazione della violazione del principio responsabilizzazione (artt. 5, par. 2 del Regolamento).

Ciò anche in relazione alla valutazione della natura anonimia o meno dei dati raccolti presso la società americana del gruppo, Menarini Silicon Biosystems Inc., atteso non sembra che la Società abbia condotto un assessment sul rischio di reidentificazione degli interessati in relazione ai dati da essa ricevuti, accettando in maniera passiva l’asserita, seppur verosimile, la natura anonima delle informazioni ricevute.

A tale riguardo, nelle proprie memorie difensive MSB ha invece, sottolineato il “proprio costante impegno nell’applicazione del principio di responsabilizzazione, dimostrato attraverso l’adozione di procedure e misure organizzative volte a garantire la conformità al Regolamento”.

Inoltre, nel ribadire quanto già sopra osservato in relazione all’informativa, in merito alla valutazione dell’effettiva anonimizzazione dei dati ricevuti dalla società americana del gruppo, MSB ha evidenziato “di aver condotto un’analisi tecnica concreta e formalizzata, sulla base di una presentazione interna redatta in occasione del progetto “CellPic™ – Data for training and testing”, datata XX [denominazione originaria del CellFind]. Tale documento individua, con approccio sintetico e tecnico, le categorie di informazioni personali potenzialmente presenti nei dataset CTAII, distinguendo tra dati direttamente identificativi e informazioni potenzialmente reidentificabili per aggregazione.

In tale ottica, lo script di anonimizzazione utilizzato da MSB Inc., oggetto di test interno da parte di MSB, ha confermato la corretta eliminazione e/o randomizzazione di tutti i campi ritenuti critici. [...]”.

4. Valutazione dell’Ufficio

4.1 Sul principio di limitazione della finalità

L’Ufficio del Garante, all’esito dell’attività ispettiva svolta presso la MSB, ha contestato alla Società la violazione del principio di limitazione della finalità, di cui all’art. 5, par. 1, lett. b) del Regolamento, in base al quale i dati devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.

In particolare, secondo il richiamato principio, i dati personali devono essere raccolti per scopi specifici. Il titolare del trattamento deve identificare i predetti scopi chiaramente e prima della raccolta e successivamente non raccogliere dati che non siano a tal fine necessari. Ciò anche per garantire la conformità alla normativa applicabile e l’implementazione di adeguate misure tecniche e organizzative a protezione dei dati trattati.

Gli scopi della raccolta devono inoltre essere espliciti, ossia chiaramente identificati, espressi e comprensibili per tutte le parti coinvolte (titolare e -se del caso- responsabile del trattamento, soggetti interessati). Ciò, a vantaggio della trasparenza, prevedibilità e non ambiguità dei trattamenti, particolarmente quando la base giuridica del trattamento svolto per scopi di ricerca è il consenso degli interessati (Comitato Europeo per la protezione dei dati (EDPB), Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, Versione 1.1 adottate il 4 maggio 2020, cfr. punto 7.2).

Inoltre, il richiamato principio richiede che gli scopi del trattamento siano conformi a tutte le disposizioni della normativa sulla protezione dei dati, nonché alle specifiche discipline di settore applicabili (cfr. Opinion 03/2013 on purpose limitation Adopted on the 2th April 2013 dal Gruppo art. 29).

Il trattamento di dati personali per scopi di ricerca scientifica deve essere svolto nel rispetto del Codice, delle prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato 5 al provvedimento recante le Prescrizioni relative al trattamento di categorie particolari di dati, e delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

In tale quadro, le richiamate Regole deontologiche all’art. 3 stabiliscono che “La ricerca è effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici”.

Merita richiamarsi altresì il considerando 159 del Regolamento nella parte in cui indica che “Nell'ambito del presente regolamento, il trattamento di dati personali per finalità di ricerca scientifica dovrebbe essere interpretato in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, TFUE” (si guardi anche l’art. 8 del disegno di legge Disposizioni e deleghe al Governo in materia di intelligenza artificiale approvato dal Senato il 20 marzo 2025).

Tutto ciò premesso, si ritiene che alla luce delle memorie difensive presentate dalla Società possa considerarsi superata la contestazione del principio di limitazione della finalità.

La Società invero ha adeguatamente chiarito di avere definito lo scopo della raccolta dei dati sulla salute riferiti ai soggetti arruolati unicamente nella realizzazione del progetto di ricerca volto allo sviluppo del tool denominato CellFind, necessario al conteggio automatizzato delle cellule del tumore del mieloma multiplo, chiarendo altresì che “Il trattamento dei dati è dunque circoscritto alla ricerca sulle cellule tumorali dei pazienti” affetti dalla predetta patologia.

Tale scopo, seppur malamente rappresentato agli interessati nell’informativa (cfr. infra par. 4.3), a seguito dei chiarimenti forniti risulta infatti coerente con le caratteristiche di liceità, correttezza e specificità richieste del Regolamento. Risulta, inoltre, che a prescindere dalle eventuali ulteriori iniziative che la MSB vorrà intraprendere rispetto al tool CellFind (commercializzazione, classificazione e autorizzazione del tool come dispositivo medico) lo scopo che ha condizionato le scelte in ordine alle operazioni di trattamento è proprio il progetto volto a consentire l’uso del CellFind su pazienti affetti da mieloma multiplo, ciò ad eccezione di quanto di seguito rappresentato in relazione al principio di limitazione della conservazione (cfr. punto 4.2).

4.2 Sul principio di limitazione della conservazione

L’Ufficio del Garante, all’esito dell’attività ispettiva svolta presso la MSB, ha contestato alla Società la violazione del principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e) del Regolamento, in base al quale i dati devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato”.

Invero l’Ufficio ha ritenuto che il tempo di conservazione di 25 anni indicato nell’informativa fosse relativo ad eventuali “additional research projects” mentre sul punto la Società, come sopra riportato ha chiarito che “I termini individuati tengono conto delle normative applicabili, del ciclo di vita di CellSearch (addestramento, sviluppo, commercializzazione e phase-out)”.

Rinviandosi al successivo paragrafo 4.3 in ordine alle modalità con le quali tale periodo è stato rappresentato agli interessati, nonostante il chiarimento fornito, si osserva che le memorie prodotte non appaiono sufficienti a ritenere superata la contestazione della violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento.

Come anticipato, infatti, il richiamato principio richiede che il titolare cessi (distruggendoli o cancellandoli) di conservare i dati in una forma tale da indentificare gli interessati al momento del raggiungimento dello scopo della raccolta, che nel caso in esame concerne unicamente la realizzazione del progetto di ricerca volto allo sviluppo del tool necessario al conteggio automatizzato delle cellule del tumore del mieloma multiplo (cfr. supra punto 4.1), avendo il titolare chiarito che tutte le ulteriori finalità sono meramente eventuali.

È la stessa MSB peraltro ad avere rappresentato in fase istruttoria che il CellFind verrebbe commercializzato senza includere dati personali e senza la possibilità di ulteriore addestramento da parte di soggetti esterni e che tale circostanza non comporta alcuna modifica delle finalità o delle modalità di trattamento dei dati personali con l’effetto, si ritiene, che essa non possa neanche condizionare la determinazione del periodo di conservazione dei dati trattati.

Il periodo di conservazione dei dati, come numerose volte indicato dall’Autorità, deve essere definito sulla base di parametri tecnico scientifici che dimostrino la funzionalità dell’informazione identificativa rispetto allo scopo della raccolta e la proporzionalità del periodo indicato (cfr. ex multis, provv. del 30 giugno 2022, doc. web 9791886).

Includendo nella motivazione del periodo di conservazione dai dati raccolti anche finalità dalla stessa Società descritte come ultronee ed eventuali rispetto allo scopo perseguito (commercializzazione e dismissione), il titolare ha quindi malamente applicato il richiamato principio.

Ciò, a prescindere dalla circostanza che materialmente la conservazione dei dati non si sia ancora protratta oltre al periodo strettamente necessario, alla quale si riconosce tuttavia un valore attenuante.

Si conferma, pertanto, la violazione da parte della MSB del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento.

4.3 Sul principio di trasparenza e sull’obbligo di rendere un’informativa idonea

L’Ufficio del Garante, all’esito dell’attività ispettiva svolta presso la MSB, ha contestato alla Società la violazione del principio di trasparenza e dell’obbligo di fornire agli interessati, prima dell’inizio dei trattamenti, un’informativa idonea (artt. 5, par. 1, lett. a) e 13 del Regolamento).

Come già anticipato al titolare nel richiamato atto di contestazione delle violazioni del XX,  in base al principio di trasparenza, “dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati [...]” ciò affinché gli interessati siano “in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze” e non siano successivamente colti “di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano” (cons. 39 e art. 5, par. 1, lett. a) del Regolamento e Linee guida sulla trasparenza ai sensi del regolamento 2016/679 adottate il 29 novembre 2017 Versione emendata adottata l’11 aprile 2018 dal Gruppo art. 29).

Sul principio di trasparenza, il considerando 39 del Regolamento indica che: “Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano [...]”.

Per l’effettiva applicazione del principio in esame, il Regolamento impone ai titolari che prima dell’inizio dei trattamenti essi rendano agli interessati un’informativa che, con un linguaggio semplice e chiaro, indichi tutti gli elementi di cui all’art. 13 del Regolamento (in caso di dati raccolti direttamente presso di essi).

La corretta attuazione del principio di trasparenza è altresì funzionale ad assicurare la liceità dei trattamenti, specie quando essi si basano sul consenso degli interessati.

Inoltre, in relazione al trattamento dei dati per l’implementazione di strumenti di intelligenza artificiale gli interessati hanno il diritto di conoscere se il trattamento sia effettuato nella fase di apprendimento dell’algoritmo (sperimentazione e validazione) ovvero nella successiva fase di applicazione dello stesso. I titolari sono pertanto tenuti a predisporre le informazioni da rendere agli interessati, con gli elementi di cui agli artt. 13 e 14 del Regolamento in termini chiari, concisi e comprensibili (Garante per la protezione dei dati personali, “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale” del 10 ottobre 2023, doc. web 9938038).

L’effettiva applicazione del principio di trasparenza assume quindi un rilievo particolare allorquando il trattamento di dati personali è finalizzato, come nel caso di specie, all’addestramento di strumenti di intelligenza artificiale. A tale riguardo, il Comitato europeo per la protezione dei dati ha di recente osservato che “Transparency about the processing of personal data includes, in particular, compliance with the information obligations as set out in Articles 12 to 14 GDPR44, which also require, in case of automated decision-making, including profiling, meaningful information about the logic involved, as well as the significance and the envisaged consequences of the processing for the data subject” e che “In some cases, it is possible to determine the purpose which will be pursued during the deployment of the AI model at an early development stage. Even where this is not the case, some context for that deployment should already be clear, and therefore, how this context informs the purpose of the development should be considered. When reviewing the purpose of the processing in a given stage of development, SAs should expect a certain degree of detail from the controller(s) and an explanation as to how these details inform the purpose of processing. This may include, for example, information on the type of AI model developed, its expected functionalities, and any other relevant context that is already known at that stage. The context of deployment could also include, for example, whether a model is being developed for internal deployment, whether the controller intends to sell or distribute the model to third parties after its development, including whether the model is primarily intended to be deployed for research or commercial purposes” (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models Adopted on 17 December 2024, punto 65; cfr. anche con 67 Regolamento (UE) 2024/1689 che stabilisce norme armonizzate sull'intelligenza artificiale).

Alla luce del quadro normativo vigente, sopra sinteticamente richiamato, si ritiene che le memorie difensive presentate dall’Azienda non consentano di considerare superata la contestazione della violazione del principio di trasparenza e dell’obbligo di fornire idonea informativa ai sensi degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Invero, nel prendersi atto delle dichiarazioni, sopra riportate, in ordine alla descrizione dello scopo del trattamento indicato nell’informativa nella parte in cui MBS ha chiarito che le due fasi -una volta allo sviluppo di nuovi prodotti e l’altra allo sviluppo di nuovi algoritmi attraverso tecnologie di machine learning-, fanno parte di un medesimo sistema di analisi, finalizzato a consentire il conteggio automatizzato delle cellule tumorali circolanti, non può non evidenziarsi come l’informativa indici tuttavia che “This Project carries out the following two main goals”. Essa quindi ben può ingenerare negli interessati la convinzione che gli scopi del trattamento siano due, tra loro distinti e differenti senza lasciare agli interessati la possibilità di comprendere che si tratta di due fasi di unico processo che per maggiore chiarezza espositiva dovrebbe indicare, la specifica patologie per lo studio della quale è svolto il trattamento. Si ribadisce, infatti, come lo scopo del trattamento effettuato a fini di ricerca nell’essere specifico debba altresì essere ben rappresentato agli interessati (Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, Versione 1.1 adottate il 4 maggio 2020, punto 155).

Con riferimento all’indicazione del periodo di conservazione dei dati, si osserva, in primo luogo, che tale elemento informativo è collocato nella sezione dell’informativa denominata “Retention of your data and samples and additional research projects”, circostanza che il Garante ritiene idonea a ingenerare confusione tra l’indicazione del periodo di conservazione dei dati necessario al conseguimento dello scopo della raccolta e quello invece eventuale e propedeutico alla realizzazione di ulteriori progetti.

In questa sezione, in relazione al periodo di conservazione dei dati è indicato che “The data inferred from the test will be retained for as long as needed to complete their analysis and retrospective analysis. Such period of time should not exceed 25 years”. Al riguardo, si osserva che tale periodo sembra essere correlato anche alla possibilità di svolgere analisi retropsettive ma che tale circostanza non emerge tra le ragioni tecnico scientifiche rappresentate dal titolare come a fondamento del periodo di conservazione.

In sintesi la descrizione in termini fuorvianti dello scopo della raccolta -che, per come ben descritto in sede istruttoria, il titolare avrebbe potuto e dovuto meglio rappresentare anche  agli interessati- e l’indicazione di un periodo di conservazione dei dati in termini altrettanto fuorvianti oltre che non proporzionati allo scopo della raccolta, si conferma la violazione da parte della MSB del principio di trasparenza e dell’obbligo di rendere informazioni idonee sul trattamento dei dati ai sensi degli artt. 5, par. 1, lett. a) e 13 del Regolamento.

4.4. Sul principio di accountability

L’Ufficio del Garante, all’esito dell’attività ispettiva svolta presso la MSB, ha contestato alla Società la violazione del principio di accountability in ordine alla mancata puntuale definizione e indicazione degli scopi di trattamento nell’informativa, ad un’accurata valutazione ed ex ante dei tempi di conservazione dei dati in base allo scopo della raccolta e, nuovamente, alla loro puntale indicazione nell’informativa oltre che alla mancata valutazione della natura anonimia o meno dei dati raccolti presso la società americana del gruppo, Menarini Silicon Biosystems Inc.

Con riferimento a tale ultimo aspetto, la MSB ha invece comprovato, fornendo idonea documentazione al riguardo, di avere svolto un assessement sul rischio di reidentificazione degli interessati ai quali si riferiscono i dati raccolti presso la predetta società americana che sono stati impiegati per l’addestramento del tool CellFind in relazione ai tumori metastatici della mammella della prostata e del colon retto.

Diversamente, in base agli accertamenti svolti e alla documentazione esaminata, è emerso come il titolare del trattamento, pur conoscendo lo scopo della raccolta di dati personali effettuata, i rischi sottesi all’uso (anche solo in fase di implementazione) di strumenti di intelligenza artificiale -al punto da svolgere correttamente, al riguardo la VIP ai sensi dell’art. 35 del Regolamento- e assicurare sempre la supervisione umana rispetto agli output del tool, abbia tuttavia omesso di porre in essere specifiche condotte responsabili e necessarie per garantire l’effettiva applicazione dei diritti e delle libertà fondamentali degli interessati.

Non appare, infatti, accurata e ben aderente al trattamento di dati specificamente svolto l’informativa sul trattamento dei dati personali, in particolare in riferimento alla corretta definizione dello scopo del trattamento, ai tempi di conservazione e alla chiara indicazione della patologia osservata.

A differenza di quanto sostenuto dalla Società in fase difensiva, dove essa sottolinea come “le contestazioni mosse dall’Autorità riguardano profili formali di trasparenza e chiarezza delle informazioni rese agli interessati piuttosto che violazioni sostanziali del Regolamento con un impatto diretto sugli individui”, le summenzionate omissioni si connotano a parere dell’Autorità per una qual certa concretezza e gravità.

Il principio di accountability, infatti, architrave del rinnovato quadro normativo in materia di protezione dei dati personali, richiede che il titolare del trattamento si conformi e sia in grado di comprovare il rispetto dei principi e degli adempienti previsti dal Regolamento e di avere effettivamente tutelato il diritto alla protezione dei dati personali degli interessati fin dalla progettazione (artt. 5, par. 2, 24 e 25 par. 1 del Regolamento).

In base al rinnovato quadro normativo in materia di protezione dei dati personali, si richiede, infatti, una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato (cfr. Provvedimento del 23 gennaio 2020, doc. web 9261093).

L’individuazione di misure adeguate e concrete per l’applicazione dei principi di protezione dei dati personali, e in particolar modo di quello di trasparenza, assume un ruolo determinate per la tutela dei diritti degli interessati nel rapporto con strumenti di intelligenza artificiale (considerati in qualsiasi fase della loro vita sulla base di un approccio whole life cycle). L’opacità delle logiche algoritmiche, il divario tra l’interessato (nei contesti sanitari spesso vulnerabile) e il titolare del trattamento può essere infatti colmato, in primo luogo, tramite l’effettiva applicazione del principio di trasparenza che, attraverso informative adeguate, corrette, chiare e intellegibili consentano agli interessati di mantenere il governo sulle informazioni che li riguardano e formulare scelte consapevoli. Ciò contribuendo, inoltre, a creare quel clima di fiducia auspicato dal Regolamento oltre che a perseguire l'obiettivo dell'Unione di istituire uno spazio europeo della ricerca ai sensi dell'articolo 179, paragrafo 1, TFUE (cons. 7 e 159 del Regolamento).

Si conferma, pertanto, la violazione da parte della MSB del principio di accountability di cui all’artt. 5, par. 2 del Regolamento.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗, gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono, come sopra illustrato e motivato, di superare gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva la violazione da parte della società Menarini Silicon Biosystems SpA, dell’art. 5, par.1, lett. a), e), e par. 2, e dell’art. 13 del Regolamento. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3 del Regolamento medesimo.

6. Misure Correttive

L’art. 58, par. 2, del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali.

Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento, prevede il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere alla Società, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di far conoscere, entro (30) trenta giorni dalla notifica del presente provvedimento:

- il periodo di conservazione dei dati ritenuto necessario, sulla base di specifiche motivazioni tecnico giuridiche, per lo sviluppo del tool del CellFind, per il conteggio automatizzato delle cellule del tumore del mieloma multiplo;

- il testo emendato dell’informativa sul trattamento dei dati personali raccolti per lo sviluppo del tool del CellFind, necessario al conteggio automatizzato delle cellule del tumore del mieloma multiplo;

- le misure assunte o che si intendono assumere per dare alla predetta informativa la più ampia diffusione, quali a titolo esemplificativo la pubblicazione sui internet delle strutture sanitarie dove sono stati raccolti i dati, del responsabile del trattamento e della MSB medesima, o l’affissione di specifici pannelli informativi presso i reparti interessati delle strutture sanitarie dove sono stati raccolti i dati.  

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. dell’art.  5, par.1, lett. a), e), par. 2, e dell’art. 13 del Regolamento commessa dalla Società è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento si osserva, in particolare, che:

- il trattamento effettuato ha riguardato, in particolare, le informazioni idonee a rilevare lo stato di salute di circa 98, pazienti, coinvolti nella realizzazione del progetto di ricerca volto allo sviluppo del tool denominato CellFind, necessario al conteggio automatizzato delle cellule del tumore del mieloma multiplo, oggetto di preventive misure di pseudonimizzazione (art. 83, par. 2, lett. a) e g) del Regolamento);

- sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo le violazioni accertate avvenute in buona fede (art. 83, par. 2, lett. b) del Regolamento);

- la Società si è dimostrata collaborativa nel corso dell’accertamento ispettivo e solerte nel fornire i riscontri richiesti in fase istruttoria, dichiarandosi essa stessa pronta ad avviare un processo di revisione dell’informativa (art. 83, par. 2, lett. f) e g) del Regolamento);

- non risultano precedenti provvedimenti correttivi già adottati dal Garante nei confronti della Società (art. 83, par. 2, lett. h) del Regolamento);

- le circostanze rispetto alle quali sono state rilevate le suddette violazioni riguardano tecnologie caratterizzate da un elevato contenuto innovativo in ambito microelettronico, microfluidico, dell'intelligenza artificiale e bioinformatico, rivolte principalmente a clienti che operano in ambito di ricerca (art. 83, par. 2, lett. k) del Regolamento);

- con specifico riferimento al principio di limitazione della conservazione, essendo il progetto ancora in corso la società non ha materialmente conservato i dati personali trattati oltre il periodo necessario (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di € 21.000 (ventunomila) per la violazione dell’art. 5, par.1, lett. a), e), e par. 2, e dell’art. 13 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato Menarini Silicon Biosystems SpA, con sede legale in Via G. Di Vittorio, 21b/3, 40013 Castel Maggiore BO, P.Iva 02602741205 per la violazione dell’artt. 5, par.1, lett. a), e), e par. 2, e dell’art. 13 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società, di pagare la somma di € 21.000 (ventunomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di far conoscere a questa Autorità, entro (30) trenta giorni dalla notifica del presente provvedimento:

- il periodo di conservazione dei dati ritenuto necessario, sulla base di specifiche motivazioni tecnico giuridiche, per lo sviluppo del tool del CellFind, per il conteggio automatizzato delle cellule del tumore del mieloma multiplo;

- il testo emendato dell’informativa sul trattamento dei dati personali raccolti per lo sviluppo del tool del CellFind, necessario al conteggio automatizzato delle cellule del tumore del mieloma multiplo;

- le misure assunte o che si intendono assumere per dare alla predetta informativa.

INGIUNGE

alla Società:

1. di pagare la somma di euro € 21.000 euro (ventunomila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7 del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Catanzaro, il 21 maggio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi