accountability

Codice Privacy, l’art. 110 è una norma iniqua: danneggia la ricerca no profit



Indirizzo copiato

Siamo di fronte a un regime giuridico che scoraggia la buona ricerca medica, biomedica ed epidemiologica: quella non profit, svolta dai migliori ricercatori e clinici italiani, che operano presso strutture sì private, ma convenzionate con il Servizio Sanitario Nazionale

Pubblicato il 24 mag 2023

Diego Fulco

Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati



ricerca Foto di Michal Jarmoluk da Pixabay

Nella ricerca medica, biomedica ed epidemiologica, hanno grandissima importanza gli studi osservazionali, cioè gli studi clinici in cui i medicinali sono prescritti secondo le indicazioni dell’autorizzazione all’immissione in commercio, l’assegnazione del paziente a una strategia terapeutica rientra nella normale pratica clinica, la decisione di prescrivere il medicinale è del tutto indipendente da quella di includere il paziente nello studio e ai pazienti non si applica nessuna procedura supplementare di diagnosi o monitoraggio.

Fra gli studi osservazionali, sono molto diffusi gli studi retrospettivi, per i quali si lavora su dati sanitari e campioni biologici già disponibili presso i centri di sperimentazione (es. dati sanitari presenti in cartelle cliniche, provette di sangue conservate in frigorifero o in anatomia patologica), ed è frequentissimo che per motivi organizzativi sia necessario includere nel perimetro dello studio persone alle quali sarebbe impossibile rilasciare l’informativa privacy e chiedere il consenso, ad esempio perché defunte o irraggiungibili.

La disciplina italiana in materia di protezione dei dati personali nella ricerca medica, biomedica ed epidemiologica

Per gli studi osservazionali retrospettivi, l’attuale disciplina italiana in materia di protezione dei dati personali nella ricerca medica, biomedica ed epidemiologica ha creato limiti che non erano imposti dalla normativa europea a protezione dei dati personali (GDPR) e che rallentano e complicano molto la ricerca.

Il “vecchio” Codice Privacy prevedeva (all’art. 110) che un Titolare intenzionato a fare una ricerca medica, biomedica ed epidemiologica sulla quale aveva ottenuto un parere favorevole del Comitato Etico, ma che per precisi motivi fosse nell’impossibilità di informare individualmente tutti i soggetti che intendeva includere nella ricerca, e rivolgere loro una richiesta di consenso, poteva realizzare quel trattamento in presenza di un’autorizzazione specifica adottata – dietro sua istanza – dal Garante, oppure di un’autorizzazione generale, rilasciata dal Garante – anche d’ufficio – a un’intera categoria di Titolari.

Il primo marzo 2012 il Garante aveva emesso un’autorizzazione generale al trattamento di dati sensibili per finalità di ricerca scientifica, prescrivendo – per l’ipotesi di impossibilità di informare individualmente gli interessati e di raccogliere il loro consenso – misure uniformi. In questo modo, aveva evitato – a quei Titolari che avevano bisogno di effettuare un trattamento con questa finalità e con queste caratteristiche – di doversi rivolgere al Garante per richiedergli un’autorizzazione specifica.

L’impronta dell’autorizzazione generale del Garante del 2012 era all’insegna di quell’accountability che il GDPR ha reso perno del sistema di compliance: i Titolari che volevano beneficiare della semplificazione dovevano documentare le loro scelte, i tentativi di informare individualmente gli interessati, ecc. Essa aveva determinato da un lato una responsabilizzazione, dall’altro una semplificazione di adempimenti e di obblighi, decisiva per condurre numerosissimi studi osservazionali.

Le limitazioni introdotte dall’art. 110 del Codice Privacy

Con il “nuovo” Codice Privacy del 2018 la disciplina è cambiata. Al comma 1, il “nuovo” art. 110 prevede che la ricerca può sì essere condotta anche quando per motivi oggettivi non è possibile avere il consenso di tutti i pazienti, purché sia una ricerca finalizzata, finanziata dal Ministero della salute. Questo filone di ricerca “pubblica” rappresenta, nella realtà, un ambito quantitativamente irrisorio.

Sempre secondo l’art. 110, si può condurre una ricerca quando per motivi oggettivi non sia possibile avere il consenso di tutti i pazienti giacché a causa di particolari ragioni, informare gli interessati sarebbe impossibile o implicherebbe uno sforzo sproporzionato, o rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. Tuttavia, devono ricorrere precise condizioni. Il progetto di ricerca deve essere oggetto di parere favorevole del competente Comitato Etico. Inoltre, per potere realizzare questa ricerca senza informare tutti gli interessati ed avere il loro consenso, il Titolare deve:

  • adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato;
  • sottoporre il progetto di ricerca a preventiva consultazione del Garante ai sensi dell’articolo 36 del GDPR.

Poiché il GDPR prevede che oggetto della consultazione del Garante di cui all’art. 36 sia una Valutazione d’impatto operata dal Titolare che si rivolge al Garante, l’adozione delle misure appropriate alla lettera A) può avvenire solo dopo la Valutazione d’impatto, che il Titolare deve presentare al Garante.

È importante considerare che ai sensi delle prescrizioni generali del Garante relative al trattamento di categorie particolari di dati (pubblicate sulla Gazzetta Ufficiale n. 176 del 29 luglio 2019) un IRCCS o una struttura sanitaria che vogliano fare uno studio osservazionale retrospettivo in cui per motivi organizzativi (compreso il fatto che molti pazienti sono defunti) è impossibile informare individualmente tutti i pazienti e raccogliere il consenso di tutti, sono tuttora tenuti a compiere ogni ragionevole sforzo per contattarli, anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente. Attività, questa onerosa. Inoltre, resta fermo l’obbligo di rendere l’informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, ciò sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo.

In base all’art. 110 del “nuovo” Codice Privacy, un Titolare che si trovi nelle condizioni descritte nella norma non può limitarsi a rispettare le pur onerose prescrizioni generali del Garante del 2019 e documentarne il rispetto nella Valutazione d’impatto che comunque sarebbe tenuto a fare ai sensi del GDPR. In aggiunta, deve aprire (coi probabili, relativi costi di assistenza legale) un apposito procedimento dinanzi al Garante ai sensi dell’art. 36 del GDPR, e deve attendere che il Garante fornisca riscontro, entro 14 settimane prorogabili (tempi spesso incompatibili con quelli dell’arruolamento e della conduzione della ricerca).

Un regime giuridico che scoraggia la buona ricerca

Siamo di fronte a un regime giuridico che scoraggia la buona ricerca medica, biomedica ed epidemiologica: quella non profit, svolta dai migliori ricercatori e clinici italiani, che operano presso strutture sì private, ma convenzionate con il Servizio Sanitario Nazionale. Strutture che dispongono di dati sanitari e di campioni biologici di un’enorme quantità di pazienti italiani, senza distinzione di censo: un patrimonio che, nell’interesse collettivo, potrebbe e dovrebbe essere sfruttato appieno per la ricerca scientifica.

Fra il 2020 e il 2021, il Team di Lavoro sugli studi osservazionali del “Gruppo Sanità” Assolombarda stava lavorando ad una proposta volta a chiedere a facilitare l’adozione da parte del Garante di un nuovo provvedimento generale in un quadro di “pesi e contrappesi” in cui, a tutela degli interessati, il settore privato avrebbe assunto precisi impegni di accountability per i casi in cui per ricerca medica, biomedica od epidemiologica occorre trattare dati personali senza potere dare un’informativa specifica a tutti gli interessati e senza potere avere il loro consenso. Allora, l’art. 2 quinquiesdecies del Codice Privacy del 2018 stabiliva che il Garante potesse prescrivere con provvedimento generale misure e accorgimenti a garanzia dell’interessato che il Titolare del trattamento è tenuto ad adottare. Tuttavia, il D.L. 139/2021 (“Decreto Capienze”) ha improvvidamente abolito l’art. 2 quinquiesdecies del “nuovo” Codice Privacy: quella strada ora è sbarrata.

Conclusioni

Qualora il Garante ritenesse di potersi avvalere di altri strumenti che il Codice Privacy gli ha affidato, Assolombarda potrebbe fornire elementi per un’accountability adeguata al GDPR, in particolare per quanto attiene al modello da usare per la Valutazione d’impatto e alle soluzioni di pseudonimizzazione dei dati.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4