studi clinici

Cessione di dati nella ricerca scientifica non-profit, se la legge non risolve i problemi: le possibili soluzioni

Con l’avvento del D.M. 30 novembre 2021 su “Sperimentazioni cliniche senza scopo di lucro e studi osservazionali” riaffiorano tutte le problematiche privacy ancora irrisolte in materia di ricerca scientifica. Qualche indicazione su come superarle

Pubblicato il 25 Lug 2022

Alessio Briganti

Studio Legalitax

Maddalena Valli

Studio Legalitax

linee guida cookie garante privacy

Dopo una lunga gestazione, è stato infine pubblicato nella G.U. n. 42 del 19 febbraio 2022, il D.M. 30 novembre 2021 (rubricato “Misure volte a facilitare e sostenere la realizzazione degli studi clinici di medicinali senza scopo di lucro e degli studi osservazionali e a disciplinare la cessione di dati e risultati di sperimentazioni senza scopo di lucro a fini registrativi”), il quale ha interamente abrogato il risalente D.M. 17 dicembre 2004, recante “Prescrizioni e condizioni di carattere generale, relative all’esecuzione delle sperimentazioni cliniche dei medicinali, con particolare riferimento a quelle ai fini del miglioramento della pratica clinica, quale parte integrante dell’assistenza sanitaria”.

L’avvento del citato provvedimento era stato lungamente atteso dagli operatori del settore, dal momento che la precedente normativa, già da anni, risultava ormai obsoleta e del tutto inadatta a soddisfare le necessità e le esigenze dei soggetti, sia pubblici che privati, quotidianamente impegnati nel campo della ricerca medico-scientifica.

Dati sanitari per ricerca scientifica, tra Gdpr e decreto: che c’è da sapere

In particolare, tra i tanti obiettivi ambiziosi che il Ministero della Salute si era posto, vi era sicuramente quello di costruire una proficua collaborazione tra tutti i protagonisti che, a vario titolo e con differenti apporti, si trovano ad operare in ambito medico-scientifico, per dare nuova linfa e vitalità agli studi senza scopo di lucro, una volta riconosciuta la loro imprescindibile importanza sociale e ai fini dell’interesse generale della popolazione.

Infatti, il D.M. del 2004 impediva ai promotori di ricerche non profit non solo di utilizzare a scopo registrativo e/o commerciale i dati e i risultati[1] conseguiti, ma anche di fornire siffatti dati e risultati a soggetti privati, quali società farmaceutiche o elettromedicali, neanche qualora le stesse avessero, con diverse forme, finanziato la ricerca stessa (ad esempio, erogando fondi, fornendo farmaci o apparecchiature mediche, ecc.).

Ovviamente, questo divieto – di fatto – limitava gli apporti agli studi senza scopo di lucro da parte dell’industria farmaceutica ed elettromedicale, la quale non considerava particolarmente conveniente e strategico investire in progetti non sfruttabili commercialmente o, comunque, per i quali non era possibile venire a conoscenza dei dati e risultati finali.

L’ambito di applicazione del decreto

Ciò detto, evidenziamo che il D.M. del 2021 limita il proprio ambito di applicazione, testualmente:

  • alle sperimentazioni cliniche senza scopo di lucro;
  • alle cosiddette sperimentazioni cliniche “a basso livello di intervento” (con o senza scopo di lucro);
  • agli studi osservazionali aventi a oggetto i farmaci (con o senza scopo di lucro); tuttavia, l’impostazione adottata dal Ministero della Salute in questo provvedimento può costituire un buon parametro per disciplinare, in via analogica, anche studi non profit di altre tipologie diverse da quelle espressamente normate.

Alla luce di quanto premesso, senza dubbio la disposizione più dirompente del D.M. del 2021 è l’art. 3, il quale ha reso legittima, disciplinandola, la cessione di dati e risultati di sperimentazioni senza scopo di lucro a fini registrativi di uno o più medicinali; nello specifico, i passaggi di detta cessione sono descritti e illustrati in cinque commi, ma quello che riguarda i profili privacy è l’ultimo, e si contraddistingue, purtroppo, per la sua laconicità: “per effetto della cessione, il cessionario subentra a tutti gli effetti nella titolarità del trattamento dei dati personali correlati alla sperimentazione”.

Le lacune del decreto in tema di trattamento

In altre parole, il nuovo provvedimento si limita a certificare una circostanza piuttosto ovvia, ovvero che la cessione di dati e risultati di uno studio non profit, da un promotore anch’esso non profit a un soggetto profit, ai fini privacy comporta il trasferimento a quest’ultimo della titolarità del trattamento sul database ceduto; ma non affronta minimamente una serie di problematiche molto più significative esistenti a monte del trattamento, come quelle legate al ruolo, al coinvolgimento e all’informazione dei pazienti che precedentemente hanno aderito allo studio, usualmente previo specifico e apposito consenso.

Infatti, premesso che la questione del consenso come valida base giuridica del trattamento di dati personali comuni e particolari [ex art. 9 del Regolamento Europeo n. 679 del 2016 (di seguito, il “GDPR”)] ai fini di ricerca medico-scientifica è attualmente molto dibattuta, non solo in Italia ma anche a livello europeo, nel caso di specie occorre domandarsi se il singolo consenso originariamente raccolto dai partecipanti a una sperimentazione senza scopo di lucro, condotta da un Promotore non profit, sia di per se idoneo a legittimare la successiva cessione dei loro dati personali (anche particolari) ad un soggetto profit, per finalità registrative di medicinali e, dunque, per uno scopo commerciale.

Sotto il profilo del rispetto del singolo paziente che aderisce allo studio ab origine non profit, nel suo ruolo di Interessato al trattamento, non sembrerebbe corretto canalizzare in un singolo consenso sia l’autorizzazione alla ricerca scientifica senza scopo di lucro che l’eventuale successiva cessione dei dati e risultati a soggetti terzi profit per utilizzi commerciali, magari limitandosi ad una mera comunicazione formale dell’avvenuto trasferimento del database. Così facendo, infatti, di fatto si considererebbe legittimo che un paziente, il quale ha prestato il proprio consenso solo per aderire allo studio senza scopo di lucro “x” condotto dal Promotore non profit “y”, si veda cedere – senza alcuna voce in capitolo – i propri dati personali (comuni e particolari) alla società farmaceutica “z” per un impiego commerciale.

Una possibile soluzione e le relative criticità

Per evitare anticipatamente una simile situazione, si potrebbe prevedere – nell’informativa ex art. 13 del GDPR rilasciata al partecipante alla ricerca – un’ulteriore finalità costituita dal possibile utilizzo dei dati per scopi commerciali, mediante la loro cessione a soggetti terzi diversi dal Promotore, interessati ad impiegarli a fini registrativi; naturalmente, detta finalità dovrebbe essere correlata ad un separato e dedicato consenso, diverso da quello – principale – a voler partecipare ad un determinato studio scientifico.

Tuttavia, anche l’impostazione appena descritta non risulta priva di criticità, posto che il consenso – come stabilito dall’art. 4, n. 11) del GDPR e più volte ribadito dal Garante privacy – dovrebbe essere specifico, ossia non potrebbe essere rilasciato anticipatamente per eventuali future cessioni di dati e risultati, non ben identificate, a soggetti profit anch’essi non ancora individuati, per trattamenti con modalità e termini ancora sconosciuti; in altri termini, non dovrebbe essere un c.d. “consenso in bianco”.

Ricerca scientifica italiana danneggiata dalle norme privacy? Il problema

La necessità di un compromesso

Risulta di tutta evidenza, dunque, la necessità di trovare un compromesso che permetta, da un lato di rispettare la normativa privacy, europea e domestica, sul consenso dell’interessato, dall’altro di consentire al promotore di una ricerca senza scopo di lucro di raccogliere dai partecipanti alla medesima un consenso che sia valido per una futura eventuale cessione dei loro dati a soggetti terzi profit, a scopo di lucro, laddove non siano ancora conosciuti (né conoscibili) i termini di tale eventuale cessione.

Difatti, immaginare che il soggetto profit, cessionario del database della ricerca non profit già condotta, debba ricontattare nuovamente tutti i pazienti aderenti per ottenere da loro un nuovo consenso non sembra un’ipotesi percorribile:

  • sotto l’aspetto pratico, specialmente laddove le persone arruolate siano di rilevante ammontare (ad esempio, centinaia se non migliaia);
  • sotto l’aspetto giuridico, poiché il cessionario, in mancanza di previo consenso del paziente, non dovrebbe proprio entrare in possesso dei suoi dati, ossia non potrebbe nemmeno acquisirli per il ricontatto sopra descritto;
  • dal punto di vista economico, posto che sarebbe difficile articolare un contratto di cessione di un database la cui esatta determinazione del corrispettivo sia subordinata alla successiva ricognizione della quantità di dati legittimamente utilizzabili a seguito e per effetto del positivo feedback dei partecipanti alla ricerca originaria dopo il loro ricontatto.

Una volta che la problematica privacy connessa alla successiva cessione di dati e risultati è stata delineata, di seguito si proverà a vagliare la maggiore o minore percorribilità di alcune possibili soluzioni, anche tenendo conto dell’esperienza di alcuni paesi europei sulla medesima tematica.

Esperienze di altri paesi Ue da considerare

In primo luogo, seguendo l’orientamento fornito dal parere[2] dello European Data Protection Board (di seguito, l’“EDPB”), si potrebbe provare a utilizzare una base giuridica diversa dal consenso, sostenendo che il trattamento dei dati particolari dei partecipanti a uno studio scientifico potrebbe essere necessario o per motivi di interesse pubblico per assicurare l’elevata qualità e sicurezza dei prodotti e dei dispositivi medici (art. 9, paragrafo 2, lettera i) del GDPR) ovvero allo svolgimento della ricerca scientifica sulla base di disposizioni di legge europee o nazionali (art. 9, paragrafo 2, lettera j) del GDPR).

A tal proposito, si registrano casi di paesi europei (ad esempio, la Spagna[3]) che hanno recentemente abbandonato il consenso quale base giuridica del trattamento per finalità di ricerca scientifica, preferendo, in relazione al trattamento dei dati con finalità di sperimentazione clinica: i) per i dati comuni, l’adempimento degli obblighi di legge (art. 6, paragrafo 1, lettera c) del GDPR): ii) per i dati particolari, i motivi di pubblico interesse (art. 9, paragrafo 2, lettera i) del GDPR) ovvero lo svolgimento della ricerca scientifica in base al diritto dell’Unione o nazionale (art. 9, paragrafo 2, lettera j) del GDPR). Tuttavia, se si tentasse di seguire questa impostazione, occorrerebbe trovare un’adeguata giustificazione che faccia rientrare anche la cessione di dati e risultati a soggetti profit per scopi commerciali (come i fini registrativi) nell’alveo di una delle due basi giuridiche appena citate, cosa non facile e, probabilmente, non generalizzabile a tutti gli studi scientifici tout court, bensì solo a quelli giudicati da un’Autorità Pubblica di particolare rilievo e interesse nazionale per le loro intrinseche caratteristiche.

Un’altra possibile alternativa dal Codice privacy

Un’altra possibile soluzione, alternativa allo specifico consenso del paziente alla cessione dei suoi dati per fini commerciali, potrebbe essere quella di tentare di applicare al caso di specie, per analogia, la disciplina sul “riutilizzo” dei dati personali a fini di ricerca scientifica o statistici da parte di soggetti terzi che svolgano principalmente tali attività, introdotta dall’art. 110-bis (rubricato “Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici”) del D.Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 110 (di seguito, il “Codice privacy”); difatti, entrambe le situazioni sarebbero accomunate dalla necessità di trattare i dati personali dei partecipanti ad un determinato studio per finalità scientifiche ulteriori e cronologicamente successive allo svolgimento dello studio stesso.

Nello specifico, il comma 1 dell’art. 110-bis del Codice privacy stabilisce che “Il Garante può autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all’articolo 9 del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati”; inoltre, il comma 2 della citata disposizione prevede che “Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del trattamento ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro sicurezza”; infine, il comma 3 aggiunge che “Il trattamento ulteriore di dati personali da parte di terzi per le finalità di cui al presente articolo può essere autorizzato dal Garante anche mediante provvedimenti generali, adottati d’ufficio e anche in relazione a determinate categorie di titolari e di trattamenti, con i quali sono stabilite le condizioni dell’ulteriore trattamento e prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli interessati. I provvedimenti adottati a norma del presente comma sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana”.

Seguendo questa impostazione, la cessione di dati e risultati di uno studio senza scopo di lucro a soggetti terzi profit per finalità commerciali, senza previo apposito consenso dei pazienti, potrebbe avvenire chiedendo un’autorizzazione al Garante privacy e dimostrandogli di aver adottato misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dei pazienti stessi; cionondimeno, a sfavore della concreta applicabilità di tale ipotesi operativa, vi sarebbe la circostanza che la mancata pronuncia del Garante entro quarantacinque giorni dalla domanda costituisce – stante il tenore letterale della norma – un vero e proprio “silenzio rifiuto”, cosicché il diniego dell’autorizzazione in parola potrebbe essere imputabile non al fatto che la cessione di dati e risultati proposta sia priva dei requisiti e delle condizioni privacy richiesti, bensì, ad esempio, alla materiale impossibilità degli uffici del Garante di esaminarla nei tempi imposti dalla legge per carenza di personale o situazioni strutturali contingenti.

Alla luce di ciò, si potrebbe allora ricorrere alla soluzione operativa delineata dal comma 3 dell’art. 110-bis del Codice privacy, in base alla quale, nel caso di specie, il Garante potrebbe autorizzare la cessione a soggetti terzi profit di dati e risultati di una ricerca non profit, mediante un provvedimento generale (contenente altresì le condizioni di detto trattamento unitamente alle misure necessarie per assicurare adeguate garanzie a tutela degli Interessati, ossia degli aderenti allo studio originario). Questa soluzione avrebbe l’evidente pregio di introdurre, una volta per tutte, prescrizioni generalizzate sulla questione in parola, senza dover ricorrere, ogni volta, all’impulso del singolo soggetto.

Conclusioni

A ben vedere, le possibili alternative al consenso del paziente, al fine di tentare di individuare una base giuridica diversa per la cessione di dati e risultati disciplinata dal D.M. del 2021, sono tutte caratterizzate dalla necessità di un intervento proattivo del Governo, del Garante privacy o di un’altra Pubblica Autorità, e ciò non risponde, inevitabilmente, all’esigenza attuale e immediata di far partire degli studi senza scopo di lucro, condotti da Promotori non profit, che prevedano la possibilità di un successivo utilizzo dei loro dati e risultati per finalità registrative profit.

Pertanto, nelle more del predetto intervento pubblico (a qualsiasi livello), per evitare che la neo introdotta normativa – volta proprio a facilitare e sostenere la ricerca scientifica nonché la cessione dei database ad essa correlata – rimanga impantanata e inapplicata per questioni di privacy, l’unica soluzione praticabile sin da subito potrebbe essere quella di richiedere agli aderenti a studi senza scopo di lucro un loro separato consenso all’eventuale futura cessione dei propri dati personali a soggetti terzi profit, cercando, se non si è già in grado di individuare il cessionario, di determinarne almeno alcuni requisiti minimi o caratteristiche essenziali, con l’unico intento di rendere il citato consenso meno generico e indefinito possibile.

Naturalmente, ciò non toglie che gli operatori del settore, pubblici e privati, non profit e profit, dovrebbero agire congiuntamente per chiedere al Garante privacy di esprimersi finalmente in maniera organica e articolata su un ambito, come quello della ricerca medico-scientifica, che in Italia è e continuerà ad essere in futuro particolarmente strategico, magari seguendo l’esempio dell’emanazione del recente “Codice di condotta per il trattamento dei dati personali nel campo della sperimentazione clinica e di altre ricerche cliniche e della farmacovigilanza”, promosso dall’associazione imprenditoriale nazionale dell’industria farmaceutica spagnola, ma approvato in toto dalla Agencia Española de Protección de Datos (Aepd), ossia il Garante privacy iberico.

Note

  1. Per “risultati” non si intendono aggregati di dati puramente statistici o assolutamente anonimi (posto che in detti casi non si pone alcun problema privacy), bensì dati ancora definibili come “personali”, in quanto, ad esempio, essendo trattati in forma pseudonimizzata, sono comunque ancora riferibili, mediante un processo a ritroso, a persone fisiche identificabili.
  2. Confronta il “Parere n. 3/2019 relativo alle domande e risposte sull’interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati”, adottato dal Comitato europeo per la protezione dei dati il 23 gennaio 2019, nonché il “Documento del Comitato europeo per la protezione dei dati sulla risposta alla domanda di chiarimenti della Commissione europea in merito all’applicazione coerente del GDPR, con un’attenzione particolare alla ricerca in campo sanitario”, adottato dal Comitato europeo per la protezione dei dati il 2 febbraio 2021.
  3. A tal proposito, si veda il paragrafo 3.3. del Protocolo de actuación en ensayos clínicos y otras investigaciones clínicas, contenuto nel “Código de Conducta regulador del tratamiento de datos personales en el ámbito de los ensayos clínicos y otras investigaciones clínicas y de la farmacovigilancia”, promosso dalla Asociación Nacional Empresarial de la Industria Farmacéutica establecida en España (ossia, dall’associazione imprenditoriale nazionale dell’industria farmaceutica spagnola), ma approvato in toto dalla Agencia Española de Protección de Datos (Aepd) (ossia il Garante privacy iberico).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Sperimentazioni cliniche: AIFA potenzia la protezione dei dati