Il secondary use rappresenta un tema particolarmente ostico in Italia. Lo sviluppo tecnologico ha, difatti, condotto ad una situazione in cui, con particolare riferimento alla realtà sanitaria, quantità crescenti di dati sanitari sono raccolti, memorizzati ed elaborati per costituire risorse preziose ai fini della ricerca.
L’introduzione dell’art. 110-bis nel decreto legislativo 196/2003 (Codice in materia di protezione dei dati personali), ha segnato un tentativo nel processo di semplificazione dello scambio e della diffusione dei dati nel contesto della ricerca scientifica. Tuttavia, sono numerose le insidie sottese a tale trattamento, soprattutto a fronte della costante necessità di riutilizzare i dati sanitari senza poter ricorrere al consenso dell’interessato. Focalizziamo l’attenzione sui nodi principali che l’esperto privacy è chiamato a sciogliere per far sì che un progetto di ricerca, svolto nel contesto medico-scientifico, risponda a tutte le prescrizioni individuate dalla normativa sulla data protection.
Assistenza Domiciliare, telemedicina e COT: quale base giuridica per far circolare i dati
L’articolo 110 bis
Nel contesto della ricerca scientifica, la deroga relativa al secondary use, ossia “il trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici” trova regolamentazione, come anticipato, all’art. 110 bis del Codice in materia di protezione dei dati personali e assume particolare rilievo, in quanto presta il fianco alle problematiche che il professionista ha il compito di affrontare, interpretare e rielaborare per procedere al complesso e necessario bilanciamento di interessi tra libera circolazione dei dati e tutela della riservatezza degli individui, specie in un settore come quello medico, connotato da informazioni di natura sensibile.
Il secondary use nel settore della ricerca scientifica costituisce una deroga al principio generale della limitazione della finalità, di cui all’articolo 5, paragrafo 1, lettera B del Regolamento Ue 2016/679 (il Gdpr).
Regolamento che consente infatti al terzo ricercatore, in qualità di autonomo titolare, di riutilizzare dati anche particolari che rientrano nell’articolo 9 del Gdpr e che sono stati originariamente raccolti per obiettivi specifici. Dati che possono essere impiegati per diverse finalità anche in assenza del consenso dell’interessato, alla duplice condizione che:
- l’Autorità per la protezione dei dati personali (Garante privacy) abbia autorizzato il trattamento ulteriore di dati personali nelle forme di cui al comma 2 (dunque con provvedimento adottato entro quarantacinque giorni dalla richiesta) o di cui al comma 3 (ovvero con provvedimento “generale” da pubblicarsi in Gazzetta Ufficiale) dell’articolo 110 bis,
- a causa di particolari ragioni informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’art. 89 del Regolamento (il Gdpr) comprese forme preventive di minimizzazione e di anonimizzazione dei dati (ultimo periodo del comma 1 dell’art. 110 bis).
Risvolti pratici: quando è possibile riutilizzare i dati senza il consenso
Come osservato, il nuovo articolo 110 bis ha introdotto un diverso modello di circolazione dei dati, valevole per il solo ambito della ricerca, in cui, al controllo esercitato dall’interessato mediante il consenso, può sostituirsi, nei casi appena esaminati, un controllo pubblico – istituzionale, esercitato dal Garante privacy mediante la procedura su illustrata.
Si assiste a un sostanziale ridimensionamento del ruolo del consenso, che, come noto per il caso di specie, costituisce la base giuridica principale per il trattamento dei dati relativi alla salute; ma non sempre è agevole individuare i casi in cui tale consenso possa essere ritenuto non necessario.
Escludendo le ipotesi in cui il terzo che debba trattare i dati sia un Istituto di ricovero e cura a carattere scientifico (per cui vale la deroga del comma 4 dell’ articolo 110 bis), per le sole ricerche mediche, biomediche ed epidemiologiche, un provvedimento di carattere generale è rappresentato dall’Autorizzazione generale 9/2016 del Garante privacy (per quanto riguarda i dati sanitari) e dall’Autorizzazione 8/2016 (per quanto riguarda i dati genetici e i campioni biologici), così come aggiornate, da ultimo, con il Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, del 2019) che ha adattato le autorizzazioni al Gdpr.
L’Autorizzazione n. 9/2016 elenca infatti le “particolari ragioni” che escludono la necessità del consenso per il riutilizzo dei dati sanitari. Esse sono, in sintesi:
- motivi etici riconducibili alla circostanza che l’interessato ignori la propria condizione,
- motivi di impossibilità organizzativa riconducibili alla difficoltà di ricontattare gli interessati, “all’esito di ogni ragionevole sforzo compiuto per contattarli anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente, risultino essere al momento dell’arruolamento nello studio deceduti o non contattabili”.
Mentre, l’Autorizzazione n. 8/2016, che ha ad oggetto il trattamento di dati genetici e dei dati estratti da campioni biologici prevede che, in deroga alla regola del consenso quale base giuridica necessaria, il predetto trattamento sia comunque lecito quando gli interessati non possono fornire il proprio consenso per incapacità, qualora ricorrano contemporaneamente le seguenti condizioni:
- la ricerca è finalizzata al miglioramento della salute di altre persone appartenenti allo stesso gruppo d’età o che soffrono della stessa patologia o che si trovano nelle stesse condizioni e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale (in modo simile a quanto previsto dall’art. 110),
- una ricerca di analoga finalità non può essere realizzata mediante il trattamento di dati riferiti a persone che possono prestare il proprio consenso,
- il consenso al trattamento è acquisito da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato,
- la ricerca non comporta rischi significativi per la dignità, i diritti e le libertà fondamentali degli interessati.
Quali misure adottare
Il soggetto deputato alla ricerca avrà l’onere di indicare all’interno del documento di progetto (che dovrà essere redatto ai sensi dell’articolo 3 delle Regole deontologiche per i trattamenti a fine di ricerca scientifica, le ragioni per cui egli ritenga che non sia possibile avvalersi del consenso quale base giuridica per il trattamento, nel rispetto del principio di accountability che permea l’attività di trattamento.
Nello stesso documento, inoltre, dovranno essere garantite e precisate le misure di sicurezza adottate, tra le quali figura certamente la pseudonimizzazione dei dati personali, la crittografia di file system o database, l’utilizzo di canali di trasmissione protetti, l’etichettatura dei campioni ed il termine di conservazione dei dati, spirato il quale essi dovranno essere cancellati oppure anonimizzati.
A completare il quadro del sistema di data protection implementato dal titolare, la redazione di una valutazione di impatto (Dpia) che tenga conto dei rischi correlati al trattamento per i diritti e le libertà degli interessati coinvolti nel progetto di studio e sperimentazione scientifica. La Dpia, difatti, assume il ruolo pregnante di vagliare e documentare che le misure di sicurezza adottate siano adeguate al rischio.
In questi casi, accade che il trattamento si riferisca alla stessa tipologia di dati per cui, con molta probabilità sarà condotto mediante modalità, strumenti e procedure standardizzate, in conformità alle indicazioni pratiche di settore riconosciute idonee alla conduzione dell’attività di ricerca. Il titolare del trattamento potrebbe dar luogo a un unico documento di valutazione di impatto che sarà utilizzabile come modello, in linea con quanto asserito dall’articolo 35, paragrafo 1 del Gdpr, il quale recita: “una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”. Inoltre “se necessario, il titolare del trattamento procede ad un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione di impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento” (articolo 35, paragrafo 11, Gpdr).
Dati personali, privacy by design “motore” per nuovi servizi: gli standard che servono
Conclusioni
Il tema assume connotati maggiormente sfidanti in considerazione della estrema vulnerabilità dei dati sanitari e, conseguentemente della loro appetibilità, per coloro che sono in grado di processarli e trarne profitto. Se, da un lato, i processi di digitalizzazione del settore sanitario e della ricerca contribuiscono ad accelerare l’elaborazione dei risultati, è altrettanto vero che aumentano in maniera esponenziale i rischi di accessi non autorizzati ed altre forme di abuso dei dati.
Di qui la necessità che i professionisti sanitari adottino atteggiamenti adeguati, supportati da consulenti che conoscano a fondo la materia e siano in grado di suggerire l’approccio proattivo migliore. Il concetto della protezione dei dati personali è gravemente sottoposto alle pressioni indirizzate a raccogliere, archiviare, elaborare e riutilizzare i dati nella prospettiva di sfruttamento economico.
Per queste ragioni occorre elaborare delle soluzioni che consentano di conciliare il progresso nel contesto sanitario con la tutela dei diritti delle persone fisiche, in modo che i limiti e le restrizioni imposti dalla normativa non rappresentino un freno allo sviluppo della ricerca scientifica.
