In un recente parere adottato ai sensi dell’art. 110 del Codice Privacy e del GDPR, l’Autorità Garante per la Protezione dei Dati Personali ha affrontato nuovamente il problema del trattamento dei dati personali per le finalità di ricerca scientifica, puntualizzando come il consenso debba essere raccolto in modo granulare per ogni studio, anche futuro, che si vorrà realizzare e come la valutazione del rischio sia fondamentale per eliminare e tenere sotto controllo le singolarità che possano, in qualche modo, incidere sulle libertà e i diritti fondamentali degli interessati.
Il trattamento dei dati personali a scopo di ricerca scientifica: il caso
L’Azienda Ospedaliera Universitaria Integrata di Verona ha presentato al Garante per la Protezione dei Dati Personali una istanza di consultazione preventiva ai sensi dell’art. 110 del Codice Privacy e dell’art. 36 del GDPR quale ente promotore di uno studio osservazionale, non farmacologico, per l’esame della popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico. Assieme all’istanza stessa, l’Azienda ha anche trasmesso al Garante il protocollo per l’esecuzione dello studio e l’analisi di impatto redatta ai sensi dell’art. 35 del Regolamento UE 679/2016.
L’obiettivo dell’ente è quello di creare una banca dati sulla quale costruire analisi e studi futuri volti a migliorare le conoscenze e gli studi sulle citate patologie, raccogliendo i dati in modo retrospettivo, e cioè a decorrere dal 1° gennaio 2010 sino ai prossimi 15 anni, conservandoli per 20 anni.
Il punto sulla raccolta del consenso
Come è noto, sia il Regolamento che il provvedimento del Garante del 5 giugno 2019 (che, a sua volta, fa propria l’autorizzazione generale n. 9/2016, modificandola leggermente), consentono agli istituti di ricerca di trattare i dati personali per finalità di ricerca anche se detti dati sono raccolti precedentemente all’inizio dello studio stesso.
La condizione di liceità per il trattamento dei dati è, però, il consenso, che deve essere richiesto ai pazienti ove questi scelgano di partecipare su base volontaria alla ricerca, a meno che la raccolta del consenso non implichi uno sforzo spropositato.
Proprio per questi motivi, il Garante, nel parere in esame, ha correttamente differenziato i due casi accennati, ossia quello in cui i pazienti non siano contattabili e quello in cui l’Azienda ha un rapporto diretto con i pazienti.
Nella prima ipotesi, invece, il Garante ha ben evidenziato che è lo stesso suo parere, in uno al parere del Comitato etico territorialmente competente, a costituire una idonea base giuridica per il trattamento dei dati.
Nella seconda ipotesi, l’Autorità ha evidenziato che il consenso al trattamento dei dati personali deve essere acquisito da ogni paziente in modo granulare sia per gli eventuali studi futuri sia per le eventuali attività di follow-up che possano in qualche modo interessare il prosieguo delle cure a cui è sottoposto. Tale motivazione è sorretta dal fatto che al momento della raccolta dello stesso non è pienamente possibile individuare le specifiche finalità del trattamento successivo, visto che le finalità del trattamento individuate dall’Azienda sono ampie e generiche. Tale consenso dovrà, quindi, essere raccolto all’esito di ogni approvazione dei futuri progetti di ricerca per giungere, in via progressiva, ad ottenere un presupposto giuridico idonei agli scopi di ricerca. Per questi motivi, il Garante definisce tale tipo di consenso “a fasi progressive”.
Il perché del consenso a fasi progressive
Il Garante, quindi, adottando la definizione di consenso a fasi progressive, di fatto risolve il problema degli ulteriori trattamenti. Infatti, secondo l’Azienda ospedaliera, il consenso raccolto dagli interessati avrebbe dovuto essere volto a eseguire anche gli ulteriori studi scientifici che possano risultare in qualche modo compatibili con quello originario. Il Garante, però, evidenzia come le ulteriori finalità del trattamento non siano delineate, dato che è l’Azienda stessa a chiarire nella sua istanza che il trattamento dei dati personali dei pazienti è volto a costruire la banca dati delle patologie del distretto toracico. Dunque, il consenso originario non può valere per gli studi successivi.
La durata del trattamento
Se, da un lato, il Garante approva che la raccolta dei dati da inserire nel database dell’Azienda possa durare per un periodo complessivo di 35 anni, di cui quindici destinati all’arruolamento dei pazienti e i successivi venti per la ricerca scientifica, chiede che dal protocollo presentato alla sua attenzione venga espunta la conservazione dei dati per i venticinque anni successivi alla conclusione della ricerca stessa, dato che tale durata si rinviene solo per la ricerca scientifica volta alla sperimentazione dei farmaci.
L’anonimizzazione dei dati personali
L’Autorità chiosa su un punto particolarmente delicato, e spesso sottovalutato da ogni titolare del trattamento, che è quello della sicurezza dei dati personali.
L’Azienda ha infatti dedotto di aver adottato misure tecniche e organizzative che possano effettivamente tutelare le libertà ed i diritti fondamentali degli interessati: innanzitutto, i dati particolari non sono riconducibili dai ricercatori ai singoli pazienti, dato che ogni scheda anagrafica è separata da essi. L’unico collegamento fra le due tabelle è un codice identificativo univoco del paziente e solo pochi soggetti autorizzati potranno avere accesso ad entrambi gli elenchi, nel caso in cui, ad esempio, emergano altre scoperte scientifiche che possano interessare la cura a cui è sottoposto il paziente.
L’Azienda ha, inoltre, previsto che il sistema di anonimizzazione provvederà a eliminare alcune variabili, mentre aggiungerà del rumore ad altre, sommando o sottraendo ad ognuna di loro un valore scelto in modo casuale.
Ancora, per l’esecuzione di alcuni altri studi i dati saranno aggregati, di modo da rendere impossibile l’identificazione del singolo paziente.
Il Garante, pur applaudendo le soluzioni tecniche adottate dal Titolare, gli ordina di eseguire periodicamente una valutazione del rischio, di modo da identificare ogni singolarità, ossia ogni caso in cui il paziente è identificabile dai dati trattati, riducendo il numero delle singolarità stesse a meno dell’1% del totale delle anagrafiche censite nel database.
Conclusioni
Il Garante, dunque, pur apprezzando lo sforzo della stessa Azienda Ospedaliera, evidenzia alcune criticità che possono essere di aiuto per tutti gli altri istituti di ricerca che eseguono simili ricerche scientifiche.
Il parere, per reso nei confronti di un solo titolare, deve essere preso in considerazione come paradigma del trattamento dei dati in ambito scientifico, suggerendo ai DPO e ai consulenti privacy di ogni istituto di ricerca delle linee guida da implementare ove non fossero ancora state adottate soluzioni giuridiche e tecnico-organizzative similari a quelle innanzi accennate.
