Nella ricerca medica, biomedica ed epidemiologica, hanno grandissima importanza gli studi osservazionali, cioè gli studi clinici in cui i medicinali sono prescritti secondo le indicazioni dell’autorizzazione all’immissione in commercio, l’assegnazione del paziente a una strategia terapeutica rientra nella normale pratica clinica, la decisione di prescrivere il medicinale è del tutto indipendente da quella di includere il paziente nello studio e ai pazienti non si applica nessuna procedura supplementare di diagnosi o monitoraggio.
Fra gli studi osservazionali, sono molto diffusi gli studi retrospettivi, per i quali si lavora su dati sanitari e campioni biologici già disponibili presso i centri di sperimentazione (es. dati sanitari presenti in cartelle cliniche, provette di sangue conservate in frigorifero o in anatomia patologica), ed è frequentissimo che per motivi organizzativi sia necessario includere nel perimetro dello studio persone alle quali sarebbe impossibile rilasciare l’informativa privacy e chiedere il consenso, ad esempio perché defunte o irraggiungibili.
La disciplina italiana in materia di protezione dei dati personali nella ricerca medica, biomedica ed epidemiologica
Per gli studi osservazionali retrospettivi, l’attuale disciplina italiana in materia di protezione dei dati personali nella ricerca medica, biomedica ed epidemiologica ha creato limiti che non erano imposti dalla normativa europea a protezione dei dati personali (GDPR) e che rallentano e complicano molto la ricerca.
Il “vecchio” Codice Privacy prevedeva (all’art. 110) che un Titolare intenzionato a fare una ricerca medica, biomedica ed epidemiologica sulla quale aveva ottenuto un parere favorevole del Comitato Etico, ma che per precisi motivi fosse nell’impossibilità di informare individualmente tutti i soggetti che intendeva includere nella ricerca, e rivolgere loro una richiesta di consenso, poteva realizzare quel trattamento in presenza di un’autorizzazione specifica adottata – dietro sua istanza – dal Garante, oppure di un’autorizzazione generale, rilasciata dal Garante – anche d’ufficio – a un’intera categoria di Titolari.
Il primo marzo 2012 il Garante aveva emesso un’autorizzazione generale al trattamento di dati sensibili per finalità di ricerca scientifica, prescrivendo – per l’ipotesi di impossibilità di informare individualmente gli interessati e di raccogliere il loro consenso – misure uniformi. In questo modo, aveva evitato – a quei Titolari che avevano bisogno di effettuare un trattamento con questa finalità e con queste caratteristiche – di doversi rivolgere al Garante per richiedergli un’autorizzazione specifica.
L’impronta dell’autorizzazione generale del Garante del 2012 era all’insegna di quell’accountability che il GDPR ha reso perno del sistema di compliance: i Titolari che volevano beneficiare della semplificazione dovevano documentare le loro scelte, i tentativi di informare individualmente gli interessati, ecc. Essa aveva determinato da un lato una responsabilizzazione, dall’altro una semplificazione di adempimenti e di obblighi, decisiva per condurre numerosissimi studi osservazionali.
Il Privacy Symposium 2023
Dietro impulso del Garante, il Privacy Symposium 2023 di Venezia ha ripreso il confronto in tema di privacy e salute avviato nello State of Privacy ’22 di Pietrarsa, allargandolo ad altre associazioni, imprese ed esperti.
Questo articolo riproduce l’intervento che ho tenuto, a Venezia, nella doppia veste di Direttore Scientifico dell’Istituto Italiano Privacy e di esponente di un apposito Team di Lavoro sugli studi osservazionali creato dal “Gruppo Sanità” Assolombarda.
Il Gruppo raccoglie le principali strutture sanitarie private lombarde e condivide le migliori pratiche e le opportunità offerte dalle collaborazioni con le imprese associate. Nonostante le strutture sanitarie aderenti ad Assolombarda siano private, la ricerca medica, biomedica ed epidemiologica da esse condotta è no profit, come del resto lo è quella svolta dagli omologhi di altre Regioni.
Le limitazioni introdotte dall’art. 110 del Codice Privacy
Con il “nuovo” Codice Privacy del 2018 la disciplina è cambiata. Al comma 1, il “nuovo” art. 110 prevede che la ricerca può sì essere condotta anche quando per motivi oggettivi non è possibile avere il consenso di tutti i pazienti, purché sia una ricerca finalizzata, finanziata dal Ministero della salute. Questo filone di ricerca “pubblica” rappresenta, nella realtà, un ambito quantitativamente irrisorio.
Sempre secondo l’art. 110, si può condurre una ricerca quando per motivi oggettivi non sia possibile avere il consenso di tutti i pazienti giacché a causa di particolari ragioni, informare gli interessati sarebbe impossibile o implicherebbe uno sforzo sproporzionato, o rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. Tuttavia, devono ricorrere precise condizioni. Il progetto di ricerca deve essere oggetto di parere favorevole del competente Comitato Etico. Inoltre, per potere realizzare questa ricerca senza informare tutti gli interessati ed avere il loro consenso, il Titolare deve:
- adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato;
- sottoporre il progetto di ricerca a preventiva consultazione del Garante ai sensi dell’articolo 36 del GDPR.
Poiché il GDPR prevede che oggetto della consultazione del Garante di cui all’art. 36 sia una Valutazione d’impatto operata dal Titolare che si rivolge al Garante, l’adozione delle misure appropriate alla lettera A) può avvenire solo dopo la Valutazione d’impatto, che il Titolare deve presentare al Garante.
È importante considerare che ai sensi delle prescrizioni generali del Garante relative al trattamento di categorie particolari di dati (pubblicate sulla Gazzetta Ufficiale n. 176 del 29 luglio 2019) un IRCCS o una struttura sanitaria che vogliano fare uno studio osservazionale retrospettivo in cui per motivi organizzativi (compreso il fatto che molti pazienti sono defunti) è impossibile informare individualmente tutti i pazienti e raccogliere il consenso di tutti, sono tuttora tenuti a compiere ogni ragionevole sforzo per contattarli, anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente. Attività, questa onerosa. Inoltre, resta fermo l’obbligo di rendere l’informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, ciò sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo.
In base all’art. 110 del “nuovo” Codice Privacy, un Titolare che si trovi nelle condizioni descritte nella norma non può limitarsi a rispettare le pur onerose prescrizioni generali del Garante del 2019 e documentarne il rispetto nella Valutazione d’impatto che comunque sarebbe tenuto a fare ai sensi del GDPR. In aggiunta, deve aprire (coi probabili, relativi costi di assistenza legale) un apposito procedimento dinanzi al Garante ai sensi dell’art. 36 del GDPR, e deve attendere che il Garante fornisca riscontro, entro 14 settimane prorogabili (tempi spesso incompatibili con quelli dell’arruolamento e della conduzione della ricerca).
Un regime giuridico che scoraggia la buona ricerca
Siamo di fronte a un regime giuridico che scoraggia la buona ricerca medica, biomedica ed epidemiologica: quella non profit, svolta dai migliori ricercatori e clinici italiani, che operano presso strutture sì private, ma convenzionate con il Servizio Sanitario Nazionale. Strutture che dispongono di dati sanitari e di campioni biologici di un’enorme quantità di pazienti italiani, senza distinzione di censo: un patrimonio che, nell’interesse collettivo, potrebbe e dovrebbe essere sfruttato appieno per la ricerca scientifica.
Fra il 2020 e il 2021, il Team di Lavoro sugli studi osservazionali del “Gruppo Sanità” Assolombarda stava lavorando ad una proposta volta a chiedere a facilitare l’adozione da parte del Garante di un nuovo provvedimento generale in un quadro di “pesi e contrappesi” in cui, a tutela degli interessati, il settore privato avrebbe assunto precisi impegni di accountability per i casi in cui per ricerca medica, biomedica od epidemiologica occorre trattare dati personali senza potere dare un’informativa specifica a tutti gli interessati e senza potere avere il loro consenso. Allora, l’art. 2 quinquiesdecies del Codice Privacy del 2018 stabiliva che il Garante potesse prescrivere con provvedimento generale misure e accorgimenti a garanzia dell’interessato che il Titolare del trattamento è tenuto ad adottare. Tuttavia, il D.L. 139/2021 (“Decreto Capienze”) ha improvvidamente abolito l’art. 2 quinquiesdecies del “nuovo” Codice Privacy: quella strada ora è sbarrata.
Conclusioni
Qualora il Garante ritenesse di potersi avvalere di altri strumenti che il Codice Privacy gli ha affidato, Assolombarda potrebbe fornire elementi per un’accountability adeguata al GDPR, in particolare per quanto attiene al modello da usare per la Valutazione d’impatto e alle soluzioni di pseudonimizzazione dei dati.
