Con l’adozione delle Guidelines 1/2026 on processing of personal data for scientific research purposes del 15 aprile 2026 , il Comitato europeo per la protezione dei dati personali (EDPB) interviene in un ambito che, più di altri, evidenzia le tensioni strutturali del diritto contemporaneo: da un lato, la promozione della ricerca scientifica quale motore di sviluppo economico e progresso sociale; dall’altro, la tutela dei diritti fondamentali della persona e, in particolare, del diritto alla protezione dei dati personali.

Le Linee guida sulla ricerca scientifica sono attualmente sottoposte a consultazione pubblica fino al 25 giugno 2026, segnando un passaggio rilevante nel processo di consolidamento dell’interpretazione del Regolamento (UE) 2016/679 (GDPR) in questo settore.

Un delicato equilibrio tra ricerca e tutela dei diritti

L’iniziativa si inserisce in un contesto normativo caratterizzato da un equilibrio non privo di ambiguità. Il GDPR, pur riconoscendo espressamente la rilevanza della ricerca scientifica – segnatamente attraverso il considerando 159 e l’art. 89 – non ne offre una definizione compiuta, demandando agli interpreti e agli ordinamenti nazionali un ruolo decisivo nella delimitazione del relativo ambito applicativo.

Ne è derivata una significativa frammentazione, che ha inciso tanto sulla certezza del diritto quanto sulla circolazione dei dati e, in ultima analisi, sulla competitività della ricerca europea.

In tale prospettiva, le Linee guida si configurano come un tentativo di ricomposizione sistematica.

Particolarmente significativa è la scelta dell’EDPB di adottare un approccio sostanzialistico alla nozione di “ricerca scientifica”, fondato su una pluralità di fattori indicativi – tra cui il carattere metodico e sistematico dell’attività, il rispetto di standard etici, la verificabilità dei risultati, l’autonomia della ricerca, il contributo al progresso della conoscenza e la rilevanza sociale degli obiettivi perseguiti.

Tali elementi, pur non esaurendo la complessità del fenomeno, offrono agli operatori criteri concreti per distinguere la ricerca autenticamente scientifica da attività meramente analitiche o commerciali, evitando indebite estensioni del regime derogatorio previsto dal GDPR.

Le linee guida EDPB sull’operatività della ricerca scientifica

È tuttavia sul piano applicativo che emerge la portata innovativa del documento. Le Linee guida non si limitano a enunciare principi astratti, ma ne illustrano la concreta operatività attraverso esempi paradigmatici.

Una nuova concezione funzionale della scientificità

Emblematico, in tal senso, è il caso di una start-up operante nel settore dell’intelligenza artificiale generativa che, in collaborazione con un’istituzione universitaria, sviluppa un progetto di ricerca sui bias algoritmici.

In tale scenario, la presenza di un metodo scientifico strutturato, la sottoposizione del progetto a revisione etica, il coinvolgimento di ricercatori qualificati e la pubblicazione dei risultati sottoposti a peer review consentono di qualificare il trattamento dei dati personali come effettuato per finalità di ricerca scientifica, nonostante la compresenza di interessi commerciali.

Ne emerge una concezione funzionale della scientificità, ancorata al metodo e agli esiti della ricerca piuttosto che alla natura soggettiva dell’ente che la svolge.

Una corretta gestione delle infrastrutture di dati per la ricerca

Analoga rilevanza assume il riferimento alle infrastrutture di dati per la ricerca, quali repository e banche dati destinate a sostenere progetti futuri.

Le Linee guida chiariscono che anche tali trattamenti, pur avendo una dimensione preparatoria, possono rientrare nell’ambito della ricerca scientifica, a condizione che siano governati da criteri rigorosi di accesso, limitati a specifici ambiti disciplinari e subordinati al possesso di adeguate qualifiche e al rispetto di standard etici.

Si tratta di un passaggio di notevole impatto pratico, in quanto legittima modelli di condivisione dei dati sempre più diffusi, ma al contempo ne subordina la liceità a una solida architettura di governance.

Viene riaffermato il principio di compatibilità del trattamento dati

Non meno significativa è la riaffermazione del principio di compatibilità del trattamento ulteriore per finalità di ricerca scientifica, che il GDPR presume, in linea di principio, compatibile con le finalità originarie della raccolta (art. 5, par. 1, lett. b)).

Tale impostazione consente di superare il vincolo della finalità senza ricorrere al test di compatibilità di cui all’art. 6, par. 4, pur permanendo l’obbligo di individuare una base giuridica adeguata e di rispettare i principi di minimizzazione e proporzionalità.

Ne deriva un rafforzamento della circolazione dei dati per finalità di interesse generale, coerente con la ratio dell’art. 89 GDPR.

L’EDPB conferma una pluralità delle condizioni di liceità

In questo quadro si colloca il tema, particolarmente delicato, delle basi giuridiche del trattamento. Le Linee guida confermano la pluralità delle condizioni di liceità utilizzabili – consenso, interesse pubblico, legittimo interesse – ma al contempo evidenziano un’evoluzione significativa del ruolo del consenso.

Se, infatti, il consenso continua a rappresentare uno strumento centrale, l’EDPB ne ridimensiona la funzione esclusiva, riconoscendo che la ricerca scientifica, specie nei contesti complessi e longitudinali, difficilmente può fondarsi su una piena e specifica determinazione ex ante delle finalità.

In tale prospettiva, il ricorso al broad consent, coerente con il considerando 33 GDPR, è ammesso entro limiti rigorosi, richiedendo la delimitazione dell’ambito di ricerca, il rispetto di standard etici elevati e l’adozione di garanzie rafforzate.

Parallelamente, il dynamic consent viene valorizzato quale modello evolutivo, idoneo a consentire un aggiornamento progressivo delle scelte dell’interessato, pur sollevando rilevanti criticità sul piano della sostenibilità operativa nei progetti su larga scala.

La rilevanza di basi giuridiche alternative al consenso

Soprattutto, le Linee guida attribuiscono crescente rilevanza alle basi giuridiche alternative al consenso. In particolare, il ricorso all’interesse pubblico – anche da parte di soggetti privati, ove previsto dalla normativa applicabile – e al legittimo interesse del titolare evidenzia una progressiva oggettivizzazione della liceità del trattamento, ancorata alla funzione sociale della ricerca scientifica.

In tal senso, la qualificazione della ricerca quale attività di interesse generale incide significativamente sul bilanciamento richiesto dall’art. 6, par. 1, lett. f), ampliando gli spazi di legittimità del trattamento.

Resta tuttavia aperta una questione di fondo relativa alle asimmetrie di potere che possono incidere sulla libertà del consenso, in particolare nei contesti sanitari o nelle collaborazioni pubblico-private.

In tali situazioni, il ricorso a basi giuridiche alternative, accompagnate da adeguate garanzie, appare non solo legittimo, ma talvolta preferibile sul piano sostanziale.

Sul versante dei diritti degli interessati, le Linee guida ribadiscono la possibilità di limitare il diritto alla cancellazione (art. 17, par. 3) e il diritto di opposizione (art. 21), qualora il loro esercizio comprometta il perseguimento degli obiettivi della ricerca.

Tali limitazioni, tuttavia, devono essere interpretate restrittivamente e sono subordinate all’adozione di adeguate misure di garanzia, in conformità ai principi di necessità e proporzionalità.

Ed è proprio sul piano delle garanzie che emergono i principali margini di criticità. Sebbene il documento richiami un ampio spettro di misure – anonimizzazione, pseudonimizzazione, ambienti sicuri, tecnologie di tutela della privacy, supervisione etica – tali indicazioni restano, in larga parte, prive di una concreta standardizzazione operativa.

Ciò pone agli operatori interrogativi rilevanti circa i criteri di valutazione dell’effettiva anonimizzazione, l’idoneità delle privacy enhancing technologies e i modelli di governance nelle infrastrutture di dati condivise.

Ricerca scientifica: linee guida nel solco dell’evoluzione del diritto UE

Le Linee guida 1/2026 si collocano in un momento di progressiva evoluzione del diritto europeo della protezione dei dati, nel quale emerge con crescente evidenza l’esigenza di coniugare la tutela dei diritti fondamentali con la promozione dell’innovazione scientifica.

Il documento si distingue per il tentativo di ricondurre a unità una materia intrinsecamente frammentata, attraverso l’elaborazione di criteri sostanziali di qualificazione della ricerca e la valorizzazione di un modello di liceità non rigidamente ancorato al consenso.

Ne deriva un assetto nel quale la centralità della volontà individuale tende a essere affiancata da una logica più complessa, in cui il rilievo sociale della ricerca assume un peso crescente nel bilanciamento degli interessi.

Tale evoluzione, se coerente con le finalità pro-innovative dell’ordinamento europeo, impone tuttavia un’applicazione rigorosa dei principi di necessità, proporzionalità e minimizzazione, al fine di evitare un indebolimento delle garanzie sostanziali.

Permane, inoltre, il nodo del coordinamento tra diritto dell’Unione e discipline nazionali, che continua a rappresentare un fattore di disomogeneità. In tale contesto, appare auspicabile un ulteriore sviluppo del quadro regolatorio, volto a definire standard tecnici e modelli di governance condivisi, in grado di rafforzare la certezza del diritto e l’effettività della tutela.

In definitiva, le Linee guida rappresentano un passaggio significativo verso la costruzione di un diritto europeo della ricerca scientifica fondato su un equilibrio dinamico tra libertà della scienza e protezione dei dati personali.

Un equilibrio che, lungi dall’essere definitivamente acquisito, richiede un continuo adattamento alle trasformazioni tecnologiche e alle esigenze della società della conoscenza, affidando al diritto una funzione di costante mediazione tra innovazione e garanzia.