Garante privacy

Trattamento dati personali a scopo di ricerca scientifica: un caso pratico, per orientare DPO e consulenti

Un parere del Garante privacy, su un’azienda sanitaria, deve essere preso in considerazione come paradigma del trattamento dei dati in ambito scientifico, suggerendo ai DPO e ai consulenti privacy di ogni istituto di ricerca delle linee guida. Ecco come e perché

Pubblicato il 05 Ago 2022

Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

nuovo modello organizzativo One stop sta rivoluzionando l'Ospedale Maggiore di Bologna, grazie a una nuova area dedicata al percorso di assistenza per i pazienti con ictus

In un recente parere adottato ai sensi dell’art. 110 del Codice Privacy e del GDPR, l’Autorità Garante per la Protezione dei Dati Personali ha affrontato nuovamente il problema del trattamento dei dati personali per le finalità di ricerca scientifica, puntualizzando come il consenso debba essere raccolto in modo granulare per ogni studio, anche futuro, che si vorrà realizzare e come la valutazione del rischio sia fondamentale per eliminare e tenere sotto controllo le singolarità che possano, in qualche modo, incidere sulle libertà e i diritti fondamentali degli interessati.

Il trattamento dei dati personali a scopo di ricerca scientifica: il caso

L’Azienda Ospedaliera Universitaria Integrata di Verona ha presentato al Garante per la Protezione dei Dati Personali una istanza di consultazione preventiva ai sensi dell’art. 110 del Codice Privacy e dell’art. 36 del GDPR quale ente promotore di uno studio osservazionale, non farmacologico, per l’esame della popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico. Assieme all’istanza stessa, l’Azienda ha anche trasmesso al Garante il protocollo per l’esecuzione dello studio e l’analisi di impatto redatta ai sensi dell’art. 35 del Regolamento UE 679/2016.

Ricerca medica: ecco le indicazioni del Garante Privacy per un corretto trattamento dei dati personali

L’obiettivo dell’ente è quello di creare una banca dati sulla quale costruire analisi e studi futuri volti a migliorare le conoscenze e gli studi sulle citate patologie, raccogliendo i dati in modo retrospettivo, e cioè a decorrere dal 1° gennaio 2010 sino ai prossimi 15 anni, conservandoli per 20 anni.

Il punto sulla raccolta del consenso

Come è noto, sia il Regolamento che il provvedimento del Garante del 5 giugno 2019 (che, a sua volta, fa propria l’autorizzazione generale n. 9/2016, modificandola leggermente), consentono agli istituti di ricerca di trattare i dati personali per finalità di ricerca anche se detti dati sono raccolti precedentemente all’inizio dello studio stesso.

La condizione di liceità per il trattamento dei dati è, però, il consenso, che deve essere richiesto ai pazienti ove questi scelgano di partecipare su base volontaria alla ricerca, a meno che la raccolta del consenso non implichi uno sforzo spropositato.

Proprio per questi motivi, il Garante, nel parere in esame, ha correttamente differenziato i due casi accennati, ossia quello in cui i pazienti non siano contattabili e quello in cui l’Azienda ha un rapporto diretto con i pazienti.

Nella prima ipotesi, invece, il Garante ha ben evidenziato che è lo stesso suo parere, in uno al parere del Comitato etico territorialmente competente, a costituire una idonea base giuridica per il trattamento dei dati.

Nella seconda ipotesi, l’Autorità ha evidenziato che il consenso al trattamento dei dati personali deve essere acquisito da ogni paziente in modo granulare sia per gli eventuali studi futuri sia per le eventuali attività di follow-up che possano in qualche modo interessare il prosieguo delle cure a cui è sottoposto. Tale motivazione è sorretta dal fatto che al momento della raccolta dello stesso non è pienamente possibile individuare le specifiche finalità del trattamento successivo, visto che le finalità del trattamento individuate dall’Azienda sono ampie e generiche. Tale consenso dovrà, quindi, essere raccolto all’esito di ogni approvazione dei futuri progetti di ricerca per giungere, in via progressiva, ad ottenere un presupposto giuridico idonei agli scopi di ricerca. Per questi motivi, il Garante definisce tale tipo di consenso “a fasi progressive”.

Il perché del consenso a fasi progressive

Il Garante, quindi, adottando la definizione di consenso a fasi progressive, di fatto risolve il problema degli ulteriori trattamenti. Infatti, secondo l’Azienda ospedaliera, il consenso raccolto dagli interessati avrebbe dovuto essere volto a eseguire anche gli ulteriori studi scientifici che possano risultare in qualche modo compatibili con quello originario. Il Garante, però, evidenzia come le ulteriori finalità del trattamento non siano delineate, dato che è l’Azienda stessa a chiarire nella sua istanza che il trattamento dei dati personali dei pazienti è volto a costruire la banca dati delle patologie del distretto toracico. Dunque, il consenso originario non può valere per gli studi successivi.

La durata del trattamento

Se, da un lato, il Garante approva che la raccolta dei dati da inserire nel database dell’Azienda possa durare per un periodo complessivo di 35 anni, di cui quindici destinati all’arruolamento dei pazienti e i successivi venti per la ricerca scientifica, chiede che dal protocollo presentato alla sua attenzione venga espunta la conservazione dei dati per i venticinque anni successivi alla conclusione della ricerca stessa, dato che tale durata si rinviene solo per la ricerca scientifica volta alla sperimentazione dei farmaci.

L’anonimizzazione dei dati personali

L’Autorità chiosa su un punto particolarmente delicato, e spesso sottovalutato da ogni titolare del trattamento, che è quello della sicurezza dei dati personali.

L’Azienda ha infatti dedotto di aver adottato misure tecniche e organizzative che possano effettivamente tutelare le libertà ed i diritti fondamentali degli interessati: innanzitutto, i dati particolari non sono riconducibili dai ricercatori ai singoli pazienti, dato che ogni scheda anagrafica è separata da essi. L’unico collegamento fra le due tabelle è un codice identificativo univoco del paziente e solo pochi soggetti autorizzati potranno avere accesso ad entrambi gli elenchi, nel caso in cui, ad esempio, emergano altre scoperte scientifiche che possano interessare la cura a cui è sottoposto il paziente.

L’Azienda ha, inoltre, previsto che il sistema di anonimizzazione provvederà a eliminare alcune variabili, mentre aggiungerà del rumore ad altre, sommando o sottraendo ad ognuna di loro un valore scelto in modo casuale.

Ancora, per l’esecuzione di alcuni altri studi i dati saranno aggregati, di modo da rendere impossibile l’identificazione del singolo paziente.

Il Garante, pur applaudendo le soluzioni tecniche adottate dal Titolare, gli ordina di eseguire periodicamente una valutazione del rischio, di modo da identificare ogni singolarità, ossia ogni caso in cui il paziente è identificabile dai dati trattati, riducendo il numero delle singolarità stesse a meno dell’1% del totale delle anagrafiche censite nel database.

Conclusioni

Il Garante, dunque, pur apprezzando lo sforzo della stessa Azienda Ospedaliera, evidenzia alcune criticità che possono essere di aiuto per tutti gli altri istituti di ricerca che eseguono simili ricerche scientifiche.

Il parere, per reso nei confronti di un solo titolare, deve essere preso in considerazione come paradigma del trattamento dei dati in ambito scientifico, suggerendo ai DPO e ai consulenti privacy di ogni istituto di ricerca delle linee guida da implementare ove non fossero ancora state adottate soluzioni giuridiche e tecnico-organizzative similari a quelle innanzi accennate.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati