Sono trascorsi quattro anni dalla piena applicazione del Regolamento Europeo 2016/679, il General Data Protection Regulation (GDPR), e ben sei anni dalla sua entrata in vigore, ma ancora diversi dubbi permangono sulle modalità di applicazione ed in particolare sulla configurazione dei ruoli, aspetto di fondamentale importanza poiché è da qui che derivano le maggiori responsabilità in un trattamento di dati personali.
Il principio di accountability, infatti, descritto nell’articolo 24 del Regolamento ma che permea l’intera norma, determina una rivoluzione concettuale rispetto alla precedente normativa, ponendo in capo al titolare del trattamento la responsabilità di stabilire le misure tecniche ed organizzative adeguate al trattamento in questione, richiedendogli anche l’obbligo di documentare tali misure e dimostrarne l’efficacia.
La configurazione dei ruoli rispetto alla titolarità nei trattamenti di dati particolari
Qualche mese fa, in un articolo su questa stessa testata [1], segnalavo la necessità di disporre di indicazioni più chiare in merito alla configurazione dei ruoli rispetto alla titolarità nei trattamenti di dati particolari nelle sperimentazioni cliniche, settore in cui la determinazione dei ruoli è spesso disallineata con le indicazioni dello European Data Protection Board (Linee Guida 7/2020 sui ruoli di Titolare e Responsabile [2]) a causa di precedenti e diverse indicazioni, fornite in un documento di Linee Guida del 2008, del Garante per la Protezione dei Dati Personali [3].
Nell’articolo era già specificato, ed in questa sede occorre ribadirlo, come non sia possibile fornire delle indicazioni univoche poiché è necessario valutare il contesto e le relazioni fra i diversi attori presenti di volta in volta, sebbene si evidenziasse come, fra le configurazioni possibili, una sembrerebbe quella più improbabile, ovvero che lo sponsor ed il centro sperimentatore agiscano nel ruolo di titolari autonomi.
Sperimentazioni cliniche e ruoli privacy
Evidentemente tale posizione, sebbene supportata anche dalle linee guida del Board europeo precedentemente citate, non è ancora condivisa da molti. Un recente articolo pubblicato sempre su questa testata infatti [4], descrivendo in maniera chiara ed esaustiva il contesto delle sperimentazioni cliniche, solleva dei dubbi basati su considerazioni diametralmente opposte rispetto a quelle del sottoscritto, ritenendo inappropriata sia la contitolarità che il rapporto di titolare e responsabile incaricato del trattamento, fra promotore e centro sperimentatore.
In generale le autrici lamentano una “carenza di una comune (e certa) interpretazione normativa dei concetti di “Titolare” e “Responsabile”” (aggiungendo nelle note) “nonostante le più recenti Linee Guida n. 07/2020 su tali concetti”. Invece sono proprio le linee guida che forniscono gli elementi necessari per comprendere ed analizzare al meglio il contesto in considerazione. Tuttavia, anche in questo caso, le autrici evidenziano come un intervento del Garante per la Protezione dei Dati Personali o, aggiungo, dello stesso European Data Protection Board, possa essere utile allo scopo di favorire un’applicazione uniforme dei principi di protezione dei dati personali in tali contesti.
Sperimentazione clinica e ruoli privacy: mancano le linee guida del Garante, i nodi aperti
I dubbi e le possibili risposte
Ritornando alle considerazioni dell’articolo, è parere del sottoscritto che, seppur nella condivisibile analisi del contesto, i dubbi che le autrici si pongono derivino dalla sovrapposizione degli obiettivi, e di conseguenza delle finalità, del trattamento. L’articolo elenca limpidamente i diversi ruoli nell’ambito di una sperimentazione clinica e spiega come sia necessario distinguere fra attività di ricerca e attività di cura. Ed è proprio questo l’elemento discriminante che occorre tenere sempre ben presente.
Tale distinzione è innanzitutto essenziale per poter eseguire correttamente l’analisi del contesto e poter derivare i corretti ruoli. È infatti condivisibile quanto le autrici sostengono quando affermano che “ci risulta difficile seguire e perseguire la stessa soluzione per tutti gli studi clinici indistintamente, con una impostazione privacy aprioristica e preconfezionata”, poiché un’attenta fase di analisi è proprio ciò che è necessario per giungere alle conclusioni corrette. Ed infatti, lo stesso Board Europeo, non prevede un’unica possibilità ma due: contitolarità o rapporto titolare/responsabile fra sponsor e centro clinico sperimentatore.
Ma la distinzione netta fra i due diversi obiettivi da perseguire è necessaria anche per una questione di correttezza nei confronti dell’interessato, che assume il ruolo di paziente, nell’attività di cura, e di partecipante alla sperimentazione in quella di ricerca. Questo è ben specificato nelle regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica [5], che richiedono appunto che “Nella ricerca di cui al comma 1 [articolo che definisce cosa si intenda per ricerca], le informazioni sul trattamento di dati personali mettono in grado gli interessati di distinguere le attività di ricerca da quelle di tutela della salute” (art. 8, par. 3).
Fatta questa necessaria premessa, proviamo a rispondere ai dubbi posti dalle autrici dell’articolo, che si chiedono: “se gli scopi di cura e gli scopi di ricerca hanno obiettivi diversi (nell’utilizzo dei dati del paziente), davvero vi è sempre una determinazione congiunta delle finalità, anche in caso di predisposizione condivisa del protocollo?”
E ancora: “Le operazioni di trattamento effettuate dal promotore avrebbero comunque contenuto diverso rispetto a quelle poste in essere dal centro di sperimentazione, con rispettiva autonoma organizzazione nella definizione delle relative misure di sicurezza, in particolare nella gestione delle attività di comunicazione dei dati a soggetti terzi (in qualità di titolari autonomi o di responsabili), di conservazione, aggiornamento e monitoraggio della documentazione relativa al trial (ivi inclusi, in particolare, la raccolta e la conservazione a norma dei consensi informati e dei consensi privacy, laddove necessari)”.
Appurato che nei casi di sperimentazioni cliniche, anche svolte con dati raccolti per finalità di tutela della salute, si configurano due diversi e distinti obiettivi, la determinazione di finalità e mezzi del trattamento va quindi considerata in maniera distinta e separata per ognuno di essi. La determinazione delle finalità e mezzi per l’attività di cura, vedrà coinvolta la sola struttura clinica, che agirà quindi da titolare unico (e quindi autonomo), senza che sia definito un protocollo di studio (che è proprio delle sperimentazioni cliniche). Riguardo alla finalità di ricerca scientifica la struttura clinica, nel ruolo di centro sperimentatore, agirà insieme, fra gli altri, allo sponsor. Il ruolo che questi due soggetti assumeranno dipenderà dalla partecipazione o meno del centro sperimentatore nella definizione del protocollo.
I chiarimenti del Board europeo
Il board europeo ha chiarito cosa si intenda per definizione congiunta di finalità e mezzi quando più soggetti perseguono la medesima finalità: “un soggetto può essere titolare del trattamento anche laddove non adotti tutte le decisioni in merito alle finalità e ai mezzi”. Inoltre, ha fornito un metodo per dedurre tale situazione che “consiste nel verificare se il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti alle finalità e ai mezzi, nel senso che i trattamenti di ciascuna parte sono tra loro indissociabili, ovverosia indissolubilmente legati”. Questo avviene quando sponsor e centro di sperimentazione hanno contribuito a definire il protocollo (e sono quindi contitolari) rispetto a quando quest’ultimo si limita ad applicarlo (agendo quale responsabile che potrebbe eventualmente essere sostituito, nella sperimentazione, da un altro centro analogo).
La necessità di distinguere i trattamenti risulta anche dalla diversa base di legittimità applicabile agli stessi: mentre l’attività sanitaria sarebbe consentita dalla condizione indicata all’art. 9, par. 2 lett. h (“il trattamento è necessario per finalità di […] diagnosi, assistenza o terapia sanitaria […]”), per la sperimentazione clinica sarebbe necessario ricorrere alla lettera j dello stesso paragrafo (ricerca scientifica) ma con la necessità di richiedere comunque il consenso dell’interessato, come indicato dalle Regole Deontologiche menzionate in precedenza. La stessa distinzione diventa necessaria al momento di considerare il periodo di conservazione dei dati, diverso per i due trattamenti, ed ai diritti dell’interessato applicabili. Tutto ciò dovrà essere comunicato all’interessato con chiarezza e semplicità e quindi necessariamente con informazioni diverse e distinte per i due trattamenti.
Lo stesso concetto è spiegato, in maniera sicuramente più sintetica ed efficace, sempre dal Board Europeo (nell’esempio sulle sperimentazioni cliniche, delle stesse linee guida): “La raccolta di dati personali dalla cartella clinica del paziente ai fini di ricerca va distinta dalla conservazione e dall’uso degli stessi dati ai fini dell’assistenza del paziente, per i quali il fornitore di assistenza sanitaria rimane titolare del trattamento”.
Il ruolo duplice e distinto della struttura sanitaria
Da quanto illustrato risulta chiaro quindi come la struttura sanitaria che svolge anche il ruolo di centro di sperimentazione, svolga un ruolo duplice e distinto quando eroga il trattamento sanitario, per il quale è titolare autonomo, rispetto alla partecipazione nella sperimentazione, nella quale potrebbe agire da contitolare con il promotore o da responsabile del trattamento incaricato dallo stesso promotore.
Ancora gli autori si chiedono: “se lo sponsor non può raccogliere i dati personali dei pazienti direttamente ed anzi, li deve ricevere dal centro di sperimentazione in via pseudonimizzata e, contestualmente, se il centro medesimo, al contrario, può e deve necessariamente trattare i medesimi dati “in chiaro” (proprio per effettuare le attività di cura), non appare in qualche modo contraddittorio dire che il centro e lo sponsor siano contitolari? E come farebbe, in via alternativa, il centro a comportarsi come responsabile del trattamento nominato dal promotore?”.
Applicazione del principio di minimizzazione
Il principio di minimizzazione deve essere sempre applicato. Sia agli autorizzati all’interno di un’organizzazione titolare di un trattamento, per cui l’accesso ai dati deve essere permesso solo a chi ne ha l’effettiva necessità per lo svolgimento del trattamento, che fra contitolari: se lo sponsor non ha necessità di accedere ai dati identificativi dei partecipanti, non deve farlo. Tuttavia, resta comunque titolare del trattamento avendo definito finalità e mezzi dello stesso. A questo va aggiunto che l’articolo 89 del GDPR richiede che, per i trattamenti a fini di ricerca scientifica “siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione” se il trattamento non possa essere svolto in forma anonima, concordando con gli autori che: “anche i soggetti che operano un trattamento pseudonimizzato dei dati dei pazienti sono soggetti all’applicazione del GDPR e delle normative (anche non privacy) correlate” (concetto chiaramente esposto nel considerando 26 del GDPR).
Nel caso in cui la struttura clinica agisse da Responsabile del trattamento, tale ruolo, come detto, sarà limitato al contesto della sperimentazione e dovrebbe quindi, a fine progetto, eliminare solo quei dati eventualmente raccolti esclusivamente per il progetto stesso (ovvero dati ulteriori rispetto a quelli raccolti nell’attività di cura) [6].
I dati utilizzati nella sperimentazione ma raccolti per l’attività di cura, non dovranno ovviamente essere eliminati poiché rientranti in un trattamento distinto per cui la struttura clinica è titolare.
Inoltre, da responsabile, “non [gli] è consentito trattare i dati in modo diverso rispetto a quanto indicato nelle istruzioni del titolare. Tuttavia, le istruzioni del titolare del trattamento possono lasciare un certo margine di discrezionalità su come servirne al meglio gli interessi, consentendo al responsabile del trattamento di avvalersi dei mezzi tecnici e organizzativi più idonei” (ancora le linee guida 7/2020). Ne consegue come sia naturale, anche nel ruolo di responsabile, che sia il centro clinico a gestire nella maniera più opportuna il rapporto con il partecipante, fornendogli le informazioni necessarie.
Le domande sul trattamento da porsi (secondo il Board Ue)
Sulla base dei dubbi che si pongono, le autrici affermano ancora che “verrebbe da concludere che il centro clinico ed i promotori operino (sempre) in modo indipendente, con scopi e responsabilità distinte, configurandosi, dunque, quali titolari autonomi, a prescindere dal fatto che abbiano collaborato o meno alla redazione congiunta del protocollo di sperimentazione”.
Ma come possono, tutte le figure coinvolte, ritenersi autonome condividendo un protocollo nel quale si decidono le caratteristiche della popolazione su cui si applicherà la sperimentazione, le modalità di somministrazione del farmaco ecc.? Se ognuno fosse davvero autonomo allora dovrebbe poter decidere in autonomia questi parametri con evidente inaffidabilità dei risultati della sperimentazione stessa. Per capire chi in un trattamento sia titolare, il board europeo suggerisce di porsi le domande: «Perché il trattamento ha luogo?» e «Chi ha deciso che il trattamento debba avvenire per una determinata finalità?». Si può quindi affermare che il centro sperimentatore abbia deciso autonomamente di avviare la sperimentazione ed i relativi obiettivi?
Inoltre, va osservato come nella normativa corrente non esista il ruolo di “titolare autonomo” (si vedano le definizioni date nell’articolo 4 del GDPR). Nell’ambito di un trattamento che prevede una ben precisa finalità non potranno esserci più figure che agiscono in completa autonomia. Ciò che può essere autonomo ed indipendente è, appunto, un trattamento rispetto ad un altro, anche eventualmente, quando entrambi sono eseguiti su uno stesso insieme di dati condiviso (all’origine) da soggetti diversi.
Conclusioni
In conclusione, sebbene il sottoscritto concordi con le autrici che la configurazione dei ruoli di un trattamento non possa essere prestabilita a prescindere (e su questo gioca un ruolo significativo la modulistica predefinita dai Comitati Etici) è, al contrario, difficile concordare sulla titolarità autonoma nel raggiungimento di una finalità condivisa, ricordando come sia sempre necessario distinguere le attività di sperimentazione da quelle di cura. Se così non fosse allora si dovrebbe valutare la definizione di finalità e mezzi per l’insieme dei trattamenti svolti da un’organizzazione, con la conseguenza di riferire tali finalità e mezzi non allo specifico trattamento ma all’intera attività svolta dall’organizzazione stessa.
Note
1. Gdpr, chi ha paura della contitolarità? Cos’è e i problemi
2. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR
3. Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali – 24 luglio 2008 [1533155]
4. Sperimentazione clinica e ruoli privacy: mancano le linee guida del Garante, i nodi aperti
5. Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018 [9069637]
6. Salvo che non intervenga una richiesta di limitazione al trattamento o ulteriori basi di liceità come ad esempio un obbligo di legge, che ne giustifichino la conservazione (in tal caso e per questo differente ed ulteriore trattamento il centro di sperimentazione, se dovesse utilizzare i dati per propri scopi, assumerebbe il ruolo di titolare).
