Nel corso degli ultimi mesi, come noto, la comunità scientifica ha molto dibattuto sulle misure previste per l’uso secondario dei dati di salute a fini di ricerca medica, biomedica ed epidemiologica.
Novità normative per l’uso dei dati di salute a fini di ricerca
Ciò in quanto il quadro normativo nazionale, nel caso in cui non si ritenesse possibile acquisire il consenso dagli interessati, base giuridica prevista dall’articolo 9 del Regolamento UE 2016/679, disponeva l’inoltro all’Autorità Garante di una istanza di consultazione preventiva al fine di poter essere autorizzati ad avviare l’attività di ricerca, come indicato dall’articolo 110 del Decreto Legislativo 196/2003 o Codice Privacy.
Come noto nell’aprile scorso la legge 24 del 2024 ha novellato tale articolo eliminando l’indicazione che il Progetto di studio e ricerca debba “.. essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento”.
Il ruolo dell’Autorità Garante nella gestione dei dati di salute
Il legislatore ha inoltre affidato all’Autorità Garante il compito di individuare le regole deontologiche che il titolare del trattamento deve osservare come garanzie nel caso in cui si possa prescindere dal consenso dell’interessato, così come previsto dall’articolo 106, comma 2, lettera d), del presente Codice.
Dopo un primo momento di incertezza della comunità scientifica sul come procedere, in assenza di tali garanzie, ad avviare le attività di ricerca, è prontamente intervenuta l’Autorità Garante con due importanti contributi:
- con il Provvedimento n. 298 del 9 maggio 2024 “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice”, pubblicato in Gazzetta Ufficiale il 5 giugno scorso, con cui ha individuato le garanzie previste dall’articolo 110 del Codice e ha promosso l’adozione di nuove Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, ai sensi degli artt. 2-quater e 106 del Codice.
- con la recente pubblicazione di una serie di FAQ sui presupposti giuridici e principali adempimenti per il trattamento da parte degli Istituti di ricovero e cura a carattere scientifico (IRCCS) dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca, che trovano applicazione in relazione anche agli studi multicentrici, anche svolti nell’ambito delle reti di ricerca o ai quali partecipano centri di ricerca non IRCSS.
La lettura combinata dei due documenti fornisce finalmente una serie di indicazioni essenziali per la gestione dei progetti di ricerca, e per l’applicazione delle misure previste dalla Legge dell’aprile scorso, che certamente introduce delle semplificazioni procedurali ma non va come una “liberalizzazione” di azione sulle relative attività di trattamento di dati di salute.
Il Provvedimento n. 298 del 9 maggio 2024: cosa cambia?
Con il Provvedimento del 9 maggio 2024 l’Autorità garante privacy è intervenuta, nell’attesa dell’emanazione di nuove regole deontologiche, che ai sensi degli articoli 2-quater e 106 del Codice Privacy sono lo strumento principale per la determinazione delle misure idonee a tutelare i diritti degli Interessati nel trattamento dei dati per scopo di ricerca.
L’Autorità, nel promuovere l’adozione delle nuove regole deontologiche, ha invitato gli stakeholder interessati che ritengano di avere titolo a sottoscrivere le Regole per trattamenti a fini statistici o di ricerca scientifica, a darne comunicazione all’Autorità, qualora possano dimostrare la loro rappresentatività e di essere portatori di un interesse qualificato.
Al contempo ha individuato le garanzie necessarie per lo svolgimento delle attività di trattamento di dati personali necessarie a fini di ricerca quando a causa di particolari ragioni, informare gli interessati e acquisirne il consenso risulti impossibile o implichi uno sforzo sproporzionato, rischiando così di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità della ricerca.
Il Garante a tal proposito ha segnalato ai Titolari che, ferma restando la necessità di predisporre per il singolo progetto di studio e ricerca la valutazione di impatto privacy ai sensi dell’articolo 36 del Regolamento UE 2016/679, dovranno rispettare le misure:
a – dell’allegato A.5 del Codice in materia di protezione dei dati di cui al Provvedimento n. 515 del 19 dicembre 2018, in G.U. “Regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’articolo 20, comma 4, del D.L.gs 10 agosto 2018, n.101”;
b – dell’Allegato n.5. “Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica” del Provvedimento n. 146 del 5 giugno 2019, pubblicato sulla Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019, “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’articolo 21, comma 1 del Decreto Legislativo 10 agosto 2018, n. 101”, che individua le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il succitato Regolamento;
c – le indicazioni sinora fornite dall’Autorità Garante con i vari Provvedimenti emanati ai sensi dell’articolo 110 del Decreto Legislativo 196/2003.
Nel provvedimento l’Autorità specifica quali sono i motivi etici ed organizzativi che possono giustificare l’avvio di progetti di ricerca in assenza del consenso degli interessati, quali quelli ad esempio riconducibili alla circostanza che l’interessato ignora la propria condizione o quando informarlo sulla ricerca comporterebbe la rivelazione di notizie la cui conoscenza potrebbe arrecargli un danno materiale o psicologico o all’impossibilità di contattare un numero massivo di interessati o la loro già verificata irreperibilità.
A tale ultimo proposito l’Autorità ha fatto presente che è necessario comunque aver compiuto ogni ragionevole sforzo per contattare l’interessato, anche attraverso:
- la verifica dello stato in vita;
- la consultazione dei dati riportati nella documentazione clinica;
- l’impiego dei recapiti telefonici da questo eventualmente forniti;
- l’acquisizione dei dati di contatto pubblicamente accessibili.
Il titolare del trattamento per ogni singolo Progetto di ricerca per il quale ritenga di non poter acquisire il consenso deve motivare e documentare accuratamente nello stesso Progetto la sussistenza delle relative ragioni etiche o organizzative per le quali informare gli interessati e acquisire il consenso risulti impossibile o implichi uno sforzo sproporzionato, o rischi di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità della ricerca.
Tali motivazioni devono essere oggetto di apposito parere favorevole del competente Comitato, che assume un ruolo strategico e essenziale per assicurare il disposto del nuovo articolo 110 del Decreto Legislativo 196/03.
Al titolare spetta inoltre elaborare la valutazione preliminare di impatto indicata dall’articolo 35 del Regolamento Ue 2016/679, documentare i ragionevoli sforzi profusi per tentare di contattare gli interessati, ed adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra le quali appare rilevante l’obbligo di pubblicare la succitata valutazione di impatto sul sito web dell’istituto di ricerca, dandone al contempo comunicazione all’Autorità Garante.
FAQ dell’Autorità Garante: chiarimenti per la comunità scientifica
Con le più recenti FAQ, dedicate ad una prima lettura agli IRCSS,( enti del Servizio sanitario nazionale a rilevanza nazionale dotati di autonomia e personalità giuridica che, secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità, come previsto dall’articolo 1 del decreto legislativo n.288 del 2003) l’Autorità ha fornito una ulteriore serie di preziose indicazioni sulle modalità con cui trattare i dati di salute a fini di ricerca.
La valutazione d’impatto nel trattamento dei dati personali a fini di ricerca
Ad esempio ha precisato che l’elaborazione della valutazione di impatto è un onere obbligatorio di tutti i titolari del trattamento che effettuano attività di ricerca, sia come IRCSS che come ad esempio aziende sanitarie, Università, Centri di ricerca, che la devono obbligatoriamente pubblicare sui propri siti web.
Questa può essere pubblicata integralmente o per estratto, qualora ciò possa ledere diritti di proprietà intellettuale, segreti commerciali o di altro tipo.
Al contrario, gli IRCSS e gli altri centri di ricerca devono elaborare la valutazione di impatto ma non pubblicarla, quindi nel caso in cui il progetto di ricerca prevede l’arruolamento consapevole dell’interessato, che presta quindi il suo consenso all’attività di trattamento di dati di salute o nel diverso caso in cui questa sia appositamente autorizzata dall’Autorità Garante.
La mancata pubblicazione della valutazione di impatto nei casi suindicati comporta le carico dell’IRCSS o del Centro di ricerca l’applicazione di una sanzione amministrativa fino a 10.000.000 di euro o fino al 2% del fatturato annuo, ai sensi dell’art. 166, comma 1 del Codice e dell’art. 83, par. 4 del Regolamento UE 2016/679.
In relazione alla valutazione di impatto l’Autorità infine evidenzia che rimane in capo al titolare l’obbligo di consultare l’Autorità soltanto nel caso in cui la stessa indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare per attenuare il rischio, ai sensi dell’art. 36 del Regolamento.
Nelle FAQ il Garante ricorda comunque anche che il consenso al trattamento dei dati di natura personale e tra questi anche quelli relativi alla salute è una manifestazione di volontà che si differenzia dal c.d. consenso informato all’adesione volontaria alla ricerca da parte degli interessati, previsto dalla specifica disciplina di settore e dai pertinenti standard etici.
Il consenso di cui tratta l’Autorità deve godere infatti di particolari caratteristiche; esso deve essere preventivo, specifico (ossia riferito ad un singolo progetto di ricerca, redatto conformemente alla norme di settore), libero, informato (ossia preceduto da idonea informativa sul trattamento), espresso, inequivocabile, reso o documentato per iscritto e sempre revocabile .
Il consenso, come ovvio può essere rilasciato solo a fronte di un informativa che renda edotto l’interessato della volontà del titolare di avviare un progetto di ricerca scientifica
Le modalità con le quali si adempie agli obblighi informativi variano necessariamente a seconda che i dati siano raccolti direttamente presso gli interessati, presso le banche dati interne dell’Istituto ovvero presso terzi.
L’informativa sul trattamento dei dati personali e di salute relativi allo specifico progetto di ricerca deve essere infatti resa nota agli interessati da parte del titolare che ha l’onere di fornire preventivamente e direttamente in una forma chiara, concisa ed intellegibile, le informazioni, ai sensi dell’art. 13, par. 3 del Regolamento UE 2016/679, eventualmente limitandosi ad evidenziare quegli elementi informativi di cui l’interessato non dispone già.
Nelle ipotesi in cui i dati siano raccolti presso banche dati interne dell’Istituto ovvero presso terzi, le informazioni possono essere rese secondo le modalità di cui all’art. 14, par. 5, lett. b) del Regolamento che ne ammette la pubblicazione.
CONCLUSIONI
L’analisi dei due documenti licenziati dall’Autorità Garante privacy mette in piena luce il dovere del titolare del trattamento che svolga attività di ricerca scientifica di dotarsi di uno specifico percorso di accountability che sia capace di tutelare i diritti degli interessati nella conduzione di una attività di estremo rilievo quale quella di ricerca.
Il ruolo strategico del Comitato Etico nella tutela dei dati personali
Al contempo è evidente che è conferito al Comitato Etico, così come già indicato nei diversi provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali, un ruolo decisivo nel garantire i citati diritti mediante il rilascio, con il proprio parere, delle autorizzazioni allo svolgimento degli Studi, condizione legittimante l’avvio delle attività di trattamento dei dati di salute.
In particolare il Comitato, oltre a dover approvare il Protocollo di Studio e Ricerca, deve esprimersi sulla sussistenza di una reale e comprovata impossibilità dei Titolari di acquisire il consenso da parte degli interessati per la loro partecipazione allo Studio o Ricerca Clinica, ai sensi del primo comma dell’articolo 110 del Decreto Legislativo 196/03, condizione di liceità del trattamento dei dati personali per le finalità in esame a difesa dei diritti sanciti dal Regolamento Ue 2016/679.
