accountability

Sperimentazione clinica: quando prevedere la DPIA sull’impatto della data protection

La DPIA – Data Protection Impact Assessment – è il modello unico di valutazione di impatto della data protection: l’adozione dei protocolli e delle Good Clinical Practices, come si compone una DPIA, le normative sulla sperimentazione clinica, gli obblighi per lo sponsor

Pubblicato il 02 Ago 2022

Serena Alvino

Chief Legal Officer, Dompé farmaceutici S.p.A. IAPP Cipp/E

Giovanna Ianni

Partner League - The Legal Hub IAPP Cipp/E

Farmaci generati dall'intelligenza artificiale

In conformità e adempimento ai propri obblighi di accountability, una società farmaceutica, titolare del trattamento dei dati personali sulle sperimentazioni cliniche, può adottare un modello unico di implementazione di data processing impact assessment (“DPIA Modello”) secondo le disposizioni contenute negli artt. 35 e 36 del GDPR, prevedendo all’interno del registro un trattamento modello “Sperimentazioni Cliniche”?

Società farmaceutiche, come cambia la comunicazione non promozionale: le novità da Farmindustria

Le valutazioni da svolgersi sulla necessità, la proporzionalità ed i rischi sottesi a tale trattamento di dati personali dei soggetti coinvolti possono essere replicate su ciascun studio sperimentale?

La risposta ai quesiti non può prescindere dalla preventiva, necessaria, verifica che il singolo studio clinico venga condotto con finalità, modalità, condizioni e termini talmente diversi, rispetto a quelli caratterizzanti il trattamento modello “Sperimentazioni Cliniche” come descritto nel registro dei trattamenti del titolare, da pervenire alla conclusione che si tratti di un diverso ed autonomo trattamento di dati personali e particolari e che richieda, pertanto, una “nuova e diversa” DPIA.

L’adozione dei protocolli e delle Good Clinical Practices nella sperimentazione clinica

Nel proprio ruolo di titolare del trattamento, lo sponsor usualmente adotta e persegue protocolli debitamente approvati ed in linea con i principi di buona pratica clinica.

Come noto, i protocolli di sperimentazione clinica definiscono gli scopi e le condizioni per le quali i dati dei soggetti arruolati saranno trattati. In conformità ai medesimi, lo sponsor registra, elabora, archivia e gestisce i dati in modo che possano essere accuratamente riportati, interpretati e verificati, preservando la riservatezza delle registrazioni e richiedendo misure tecniche e organizzative appropriate, per proteggere le informazioni e i dati personali.

Inoltre, nell’ambito della complessiva gestione della governance aziendale, è verosimile che anche lo sponsor, con riferimento alla conduzione di studi clinici ed attività di sperimentazione, implementi e adotti specifiche procedure operative e istruzioni standard per ciascun dipartimento ed in relazione a ciascun processo operativo.

L’attività di sperimentazione e di indagini cliniche viene altresì usualmente condotta in conformità allo specifico protocollo implementato, alle pratiche di monitoraggio, a tutte le normative di settore applicabili, nazionali ed EU, nonché alle Good Clinical Practices (“GCP”), quali standard internazionali di etica e qualità scientifica per progettare, condurre, registrare e relazionare gli studi clinici che coinvolgano soggetti umani.

La conformità alle GCP da parte dello sponsor garantisce, quindi, sia la tutela dei diritti, della sicurezza e del benessere dei soggetti partecipanti agli studi, sia l’attendibilità dei relativi dati, unitamente all’implementazione delle procedure standard in tema di data protection e generale compliance normativa.

Il ruolo della DPIA nei trattamenti di sperimentazione clinica

Contrariamente a quanto si potrebbe ritenere, la DPIA non rappresenta di per sé il baluardo a difesa dei diritti e delle libertà degli interessati partecipanti alla sperimentazione: piuttosto, è l’intero sistema di data protection adottato dal titolare che nel suo complesso deve garantire la presenza di misure di sicurezza, volte a prevenire i rischi per i diritti e le libertà degli interessati coinvolti in ciascun studio clinico.

La DPIA ha la funzione di mappare i rischi e verificare che le misure di sicurezza adottate siano adeguate al rischio a cui ci si espone.

Dal momento che, come spesso accade, il trattamento connesso con uno studio clinico si riferisce sempre ad una stessa tipologia di dati, viene condotto con modalità, criteri, strumenti, sistemi e procedure standard, in linea con le prassi di settore uniformemente riconosciute come valide e idonee alla conduzione dell’attività di sperimentazione clinica, il titolare ben potrebbe a nostro avviso effettuare un’unica valutazione d’impatto sotto forma di DPIA Modello.

Infatti, qualora, in conformità alle procedure interne adottate – all’avvio di ogni nuovo studio clinico – lo sponsor effettui in via preliminare una valutazione della sussistenza di finalità, circostanze ed elementi tali da far ritenere che il nuovo studio non si discosta sensibilmente dalle finalità e caratteristiche del trattamento modello “Sperimentazioni Cliniche”, come appunto descritto nel registro dei trattamenti, ben potrebbero trovare applicazione i concetti sottesi agli artt. 35 e 36 GDPR.

Come noto l’art. 35, par. 1 del GDPR stabilisce infatti che “una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”. Anche il successivo par. 11 del medesimo articolo 35 GDPR prevede che “se necessario, il titolare del trattamento procede ad un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione di impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento”.

In applicazione di tale principio, pare coerente a chi scrive che il titolare del adotti un modello unico di implementazione delle disposizioni contenute negli artt. 35 e 36, GDPR. E ad esso faccia riferimento per tutti i trattamenti successivi.

Trattamenti di dati personali nell’ambito di uno studio clinico: come si compone una DPIA

La conclusione riportata trova comunque sostegno nel fatto che, in via del tutto generale, lo sponsor (in qualità di titolare del trattamento) adotta tutte le misure tecniche ed organizzative necessarie a garantire l’utilizzo dei dati personali nell’ambito degli studi clinici nel rispetto dei diritti e delle libertà degli interessati.

La scrupolosa osservanza dei protocolli e delle proprie procedure interne ed il rispetto della normativa, delle GCP, dei provvedimenti e pareri delle autorità competenti garantiscono l’implementazione in capo al titolare di un solido sistema di protezione dei dati degli interessati, tale da contenere il connesso livello di rischio, come poi valutato nella DPIA.

La DPIA modello dovrà pertanto essere condotta considerando i seguenti elementi:

  • Descrizione del contesto entro il quale si effettua il trattamento dei dati e le sue implicazioni – tale fase consiste nella descrizione del trattamento dei dati, delle finalità e delle implicazioni; la categoria degli interessati oggetto di valutazione dei rischi comprende i pazienti e, in generale, i soggetti umani partecipanti allo studio clinico;
  • Individuazione dei controlli esistenti o previsti per ottemperare agli obblighi di legge e trattare i dati in modo proporzionato – trattasi degli obblighi legali e obbligatori, organizzativi, sulla sicurezza logica e sulla sicurezza fisica
  • Valutazione dei rischi per la privacy, in modo da poter arginare il rischio;
  • Decisione in ordine alla convalida del metodo di trattamento del rischio, ovvero revisione delle fasi precedenti.

Come noto, la metodologia di analisi dei rischi più diffusamente adottata nella conduzione di una DPIA è quella sviluppata dalla CNIL (Garante Francese), come altresì implementata dal Garante Italiano.

Le normative che si applicano al trattamento sperimentazioni cliniche

Ancora in via del tutto generale, va ricordato che al trattamento “Sperimentazioni Cliniche” si applicano, tra le altre, le seguenti principali normative:

  • Regolamento UE n. 2016/679 (GDPR).
  • D.lgs. n. 196/2003 ss.mm.ii per effetto del D.lgs. n. 101/2018.
  • D.M. 8 maggio 2003 “Uso terapeutico di medicinale sottoposto a sperimentazione clinica modificato dal DM 7/11/2008”
  • Reg. 520/2012 relativo allo svolgimento delle attività di farmacovigilanza previste dal regolamento (CE) n. 726/2004 del Parlamento europeo e del Consiglio e dalla direttiva 2001/83/CE del Parlamento europeo e del Consiglio.
  • Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, sulla sperimentazione clinica di medicinali per uso umano, che abroga la direttiva 2001/20/CE.
  • GCP.

Quindi, è chiaro che non stiamo dubitando della necessità “ex se” di svolgere la DPIA sul trattamento relativo alle sperimentazioni cliniche; in merito non si pone alcun dubbio, piuttosto, come sopra meglio precisato, ci si deve chiedere se ad ogni studio clinico si accompagni l’obbligo da parte del titolare di eseguire una nuova e diversa DPIA.

Le definizioni di trattamento dei dati personali e di ricerca scientifica

Solo per mera chiarezza, al verificarsi dei presupposti di cui alle suddette previsioni e in virtù delle decisioni liberamente assunte dal titolare nell’ambito della motivata discrezionalità intrinseca al principio di accountability, l’indubbia necessità di effettuare la DPIA su questo specifico trattamento è confermata dall’Allegato 1 del Provvedimento Generale emanato dall’Autorità Garante italiana 11 ottobre 2018 [9058979].

Il provvedimento, “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, prevede espressamente tale incombente con specifico riferimento, tra altri, a “6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo); 10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 … 11. Trattamenti sistematici di dati biometrici… 12. Trattamenti sistematici di dati genetici …”, tenendo comunque conto, in tutti questi casi, “del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento”.

Le nostre argomentazioni si fondano su due definizioni essenziali:

(a) la definizione di “trattamento dei dati personali”, contenuta nell’art. 4, n. 2 GDPR: sebbene ricordarla possa sembrare un inutile esercizio chiarificatore – la nozione di “trattamento” (dal punto di vista strettamente inerente la data protection) si identifica (in via esemplificativa) con le seguenti singole operazioni di:

  • strutturazione
  • conservazione
  • consultazione
  • elaborazione
  • modificazione
  • selezione
  • estrazione
  • raffronto
  • utilizzo
  • interconnessione
  • blocco
  • comunicazione (o cessione)
  • diffusione
  • cancellazione
  • distruzione.

(b) la definizione di “ricerca scientifica”: nell’ambito dell’attività caratteristica di una società operante nel settore pharma (svolgimento delle attività di ricerca), il trattamento di informazioni e dati sanitari/scientifici genera operazioni di uso di dati personali, perseguendo specifiche finalità di affidabilità e sicurezza, anche al fine di ottenere il positivo e soddisfacente raggiungimento di risultati ottimali della ricerca medesima. L’obiettivo principale della normativa locale ed europea in quest’ambito è quello di realizzare un’armonizzazione del settore delle sperimentazioni cliniche sui medicinali per uso umano, partendo naturalmente dal presupposto della necessità inderogabile di garantire un elevato livello di protezione della salute, elevati standard di qualità e sicurezza dei medicinali e garantendo che i dati generati nelle sperimentazioni cliniche siano affidabili e solidi.

Ne deriva l’obbligo per lo sponsor di adottare e perseguire un protocollo debitamente approvato ed in linea con i principi di buona pratica clinica.

Gli obblighi per lo sponsor nel protocollo di sperimentazione clinica

Come sopra rilevato, il protocollo di sperimentazione clinica definisce gli scopi e le condizioni per le quali i dati dei soggetti arruolati saranno trattati. Non dimentichiamo che lo sponsor è legalmente obbligato, tra gli altri, a comunicare i risultati della sperimentazione, ad eseguire le relazioni sulla sicurezza, archiviare il master file delle sperimentazioni cliniche per il periodo di tempo prescritto dalla legislazione nazionale ed europea.

Inoltre, lo sponsor può essere soggetto a verifiche ed ispezioni da parte delle autorità competenti, con diritto di accesso ai dati della sperimentazione clinica.

Accountability nella conduzione delle indagini cliniche

In conformità al principio di accountability, è dunque obbligo di chi effettua il trattamento di dati personali nell’ambito delle sperimentazioni cliniche attuare le misure tecniche e organizzative adeguate a garantire e poter dimostrare che i dati personali sono trattati in conformità alle norme sulla protezione dei dati.

In altre parole, va garantita la conformità delle operazioni di trattamento, effettuate nel contesto di una sperimentazione clinica, a tutte le norme di protezione dei dati contenute nel GDPR.

Tra cui: il rispetto dei principi cardine di protezione dei dati, l’invio agli interessati di adeguate informative, la nomina di un responsabile della protezione dei dati, quando richiesto, la tenuta del registro ai sensi dell’art. 30 GDPR, l’adozione di procedure che consentano l’esercizio dei diritti degli interessati, lo svolgimento delle valutazioni rischi, quando doveroso / opportuno, in considerazione dell’impatto del trattamento dei dati personali sui diritti e le libertà degli interessati.

Oltre a quanto sopra, va ancora ricordato in via generale il contenuto della sez. 5, Allegato 1 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510] emesso dall’Autorità Garante il 5 giugno 2019 che detta le “Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016)” quando:

“ • il trattamento è necessario per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l’esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l’esecuzione di precedenti progetti di ricerca oppure

• il trattamento è necessario per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso”.

In questi casi la ricerca deve essere effettuata sulla base di un progetto, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale” (par. 5.2).

Tale provvedimento, dunque, ha proprio lo scopo di fornire le indicazioni necessarie circa le modalità di esecuzione dei trattamenti dei dati personali nell’ambito dei progetti di ricerca clinica.

Prescrive, a titolo d’esempio, gli accorgimenti relativi alle tecniche di cifratura o pseudonimizzazione, al ricorso al principio di minimizzazione, al divieto di diffusione dei dati relativi alla salute degli interessati, ai tempi, e modalità di conservazione dei dati e dei campioni, di custodia e sicurezza dei medesimi (“fermo restando l’obbligo di adottare le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, sono impiegate dal/i titolare/i del trattamento, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità, specifiche misure e accorgimenti tecnici per incrementare il livello di sicurezza dei dati trattati per l’esecuzione dello studio” – par. 5.7).

L’impatto della governance e dell’organizzazione dello sponsor sulla tutela dei dati personali

Come noto, nell’ambito di una sana e strutturata gestione di governance aziendale lo sponsor adotta specifiche procedure operative per ciascun ufficio ed in relazione a ciascun processo organizzativo. Naturalmente, anche (e soprattutto) con riferimento alla conduzione di studi clinici ed attività di sperimentazione.

L’attività di sperimentazione e di indagini cliniche deve essere condotta in conformità ai criteri di governance adottati, agli specifici protocolli implementati, alle pratiche di monitoraggio, a tutte le normative di settore applicabili, nazionali ed EU, nonchè alle GCP, quali standard internazionali di etica e qualità scientifica per progettare, condurre, registrare e relazionare gli studi clinici che coinvolgano soggetti umani. È tale conformità che consente allo sponsor di garantire sia la tutela dei diritti, della sicurezza e del benessere dei soggetti partecipanti agli studi, sia l’attendibilità dei relativi dati.

In conformità alle Linee Guida del Garante Privacy del 24 luglio 2008 (che, in attesa di un intervento in merito da parte dell’Autorità ancora rappresentano il riferimento principale in tema di trattamento dei dati personali nell’ambito delle sperimentazioni cliniche), il titolare deve adottare tutte le misure tecniche ed organizzative necessarie a garantire l’utilizzo dei dati personali trattati nell’ambito degli studi clinici nel rispetto dei diritti e delle libertà degli interessati.

La scrupolosa osservanza dei protocolli e delle proprie procedure interne ed il rispetto della normativa, delle GCP, dei provvedimenti e pareri delle autorità competenti garantiscono l’implementazione in capo allo sponsor di un solido sistema di protezione dei dati degli interessati, tale da contenere ampiamente il connesso livello di rischio: basti pensare all’utilizzo delle tecniche di pseudonimizzazione e cifratura dei dati dei pazienti, al non svolgimento di raccolta diretta dei dati, né di contatto con gli individui inclusi nella sperimentazione, se non nei casi strettamente necessari, come ad esempio nel caso di adempimento degli obblighi di farmacovigilanza e di comunicazione di eventi avversi.

Conclusioni

È l’intero sistema di data protection adottato dallo sponsor che nel suo complesso garantisce la presenza di misure di sicurezza, volte a prevenire i rischi per i diritti e le libertà degli interessati coinvolti in ciascun studio clinico e a dimostrare la conformità del trattamento modello “Sperimentazione Clinica” al GDPR (ed alle altre normative applicabili).

Va da sé che le disposizioni contenute negli artt. 35 e 36 GDPR trovino “ab origine applicazione da parte del titolare per effetto della specificità dell’attività imprenditoriale svolta (attività di ricerca in ambito farmaceutico) e del trattamento “Sperimentazione Clinica”, secondo le finalità e caratteristiche descritte nel registro dei trattamenti.

Peraltro, poiché il trattamento “Sperimentazione Clinica” deve essere condotto con modalità, criteri, strumenti, sistemi e procedure standard, in linea con le prassi di settore uniformemente riconosciute come valide ed idonee alla conduzione dell’attività di sperimentazione clinica, come sopra precisato, siamo dell’opinione che il titolare possa legittimamente effettuare una DPIA modello sul trattamento (modello) “Sperimentazione Clinica”.

Resta inteso che, all’avvio di ogni nuovo studio clinico, dovrà preliminarmente essere effettuata una concreta valutazione della sussistenza di finalità, circostanze ed elementi tali da far ritenere che tale nuovo studio non si discosti sensibilmente dalle finalità e caratteristiche dal modello di trattamento descritto nel registro.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Sperimentazioni cliniche: AIFA potenzia la protezione dei dati