Il Biotech Act europeo: la rivoluzione dei dati che cambierà per sempre le sperimentazioni cliniche

In una frizzante mattina di marzo del 2026, un cambiamento sismico si propagò silenziosamente nei corridoi del potere biomedico europeo. Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato un raro parere congiunto sulla proposta di Biotech Act - una bomba legislativa destinata a rivoluzionare il modo in cui i dati delle sperimentazioni cliniche vengono gestiti in tutta l’UE. Per anni, ricercatori, sponsor e innovatori della salute digitale sono stati frenati da un labirinto di regole contraddittorie. Ora, il Biotech Act promette di spazzare via queste barriere. Ma, mentre la polvere si posa, restano domande cruciali: chi controllerà la miniera d’oro dei dati sanitari europei, e a quale costo per la privacy?

Fatti rapidi

• Il Biotech Act è il primo regolamento UE ad affrontare in modo completo le biotecnologie in ambito sanitario, con l’obiettivo di colmare il divario con Stati Uniti e Cina.
• Elimina la necessità del consenso individuale come base giuridica per il trattamento dei dati personali nelle sperimentazioni cliniche, sostituendolo con un unico fondamento giuridico armonizzato in tutti gli Stati membri.
• Gli Stati non possono più imporre condizioni nazionali aggiuntive sul trattamento dei dati sensibili nella ricerca clinica - ponendo fine ad anni di frammentazione normativa.
• I dati raccolti nelle sperimentazioni possono essere riutilizzati per ulteriori ricerche, con una chiara giustificazione legale.
• Nuove regole introducono obblighi espliciti per l’uso dell’intelligenza artificiale negli studi clinici, richiamando l’AI Act dell’UE.

Dentro il Biotech Act: rompere lo stallo dei dati

Il settore biotech europeo ha a lungo sofferto del proprio successo: ricerca di livello mondiale bloccata dietro muri regolatori, mentre Stati Uniti e Cina avanzano a grandi passi. Il Biotech Act, presentato dalla Commissione europea nel dicembre 2025, mira a cambiare tutto questo - non solo aumentando i finanziamenti e sostenendo l’IA, ma smantellando il mosaico di regole sulla protezione dei dati che ha ostacolato le sperimentazioni cliniche multinazionali.

La mossa più radicale dell’Act? Eliminare il “consenso” come base giuridica predefinita per la gestione dei dati sanitari nelle sperimentazioni cliniche. Al suo posto, si applicherà un unico obbligo legale valido in tutta l’UE - rimuovendo il potere dei singoli Stati di aggiungere i propri ostacoli. L’EDPB e l’EDPS, un tempo severi guardiani della privacy, ora sostengono questo cambiamento, definendolo una risposta pragmatica alle esigenze della scienza e dell’innovazione. Il loro parere congiunto non si limita a ratificare la proposta; offre correzioni tecniche puntuali, come chiarire quando e come si possa accedere ai dati, e sollecitare l’uso della pseudonimizzazione ove possibile.

L’Act affronta anche di petto le questioni più spinose: chi è responsabile dei dati? La legge ora designa chiaramente sponsor e sperimentatori come titolari del trattamento, ma invita i legislatori a evitare di rendere i singoli medici personalmente responsabili - suggerendo invece che siano le istituzioni a farsi carico dell’onere. La conservazione dei dati, in precedenza una zona grigia, viene ora fissata a 25 anni per i fascicoli principali della sperimentazione, con limiti più rigorosi altrove per prevenire accumuli inutili.

Forse in modo più controverso, l’Act consente che i dati raccolti in una sperimentazione vengano riutilizzati per ricerche future - purché servano la salute pubblica, gli standard di cura o l’innovazione medica. Questo potrebbe dare un’accelerazione turbo alla scienza europea, ma solleva anche lo spettro di un uso improprio dei dati se la vigilanza dovesse venir meno.

Anche l’intelligenza artificiale ottiene un’attenzione dedicata: gli sponsor devono ora valutare rischi e benefici dei sistemi di IA impiegati nelle sperimentazioni e condividere protocolli dettagliati. L’interazione dell’Act con il nuovo AI Act resta poco chiara, e i watchdog chiedono regole più nette per evitare pericolose scappatoie.

Conclusione: una nuova era, o un nuovo campo minato?

Il Biotech Act segnala un cambiamento profondo - non solo nella legge, ma nell’atteggiamento. I custodi europei dei dati non sono più guardiani del cancello, ma partner nella costruzione di un panorama biotech competitivo e innovativo. Eppure, la strada davanti è irta di insidie: l’Act deve affrontare un tortuoso percorso legislativo, e la sua audace armonizzazione potrebbe innescare nuove battaglie su privacy e controllo. Per il settore delle scienze della vita digitali, una cosa è chiara: le regole del gioco stanno per essere riscritte. L’unica domanda è - chi vincerà?

WIKICROOK

• GDPR: Il GDPR è una rigorosa legge UE e del Regno Unito che protegge i dati personali, imponendo alle aziende di gestire le informazioni in modo responsabile o affrontare pesanti sanzioni.
• Titolare del trattamento: Il Titolare del trattamento è la persona o l’organizzazione che decide come e perché i dati personali vengono trattati, assumendosi la principale responsabilità legale per il loro utilizzo.
• Pseudonimizzazione: La pseudonimizzazione sostituisce gli identificatori personali nei dati con etichette artificiali, riducendo i rischi per la privacy pur consentendo un uso e un’analisi sicuri dei dati.
• AI Act: L’AI Act è un regolamento UE che stabilisce regole per un uso sicuro ed etico dell’intelligenza artificiale, includendo standard per sistemi ad alto rischio come i deepfake.
• Regolamento sulle sperimentazioni cliniche (CTR): Il Regolamento sulle sperimentazioni cliniche (CTR) è una legge UE che standardizza la conduzione delle sperimentazioni cliniche e la protezione dei dati tra gli Stati membri, rafforzando sicurezza e trasparenza.