Sperimentazione clinica e ruoli privacy: lo scorso 31 gennaio è entrato in vigore il CTR – Clinical Trial Regulation[1], quattro anni dopo il GDPR, che risale al 2016. Tuttavia, le Linee Guida[2] del Garante Privacy sono ancora ferme al 2008, 14 anni fa.
I ruoli privacy riguardano la giusta allocazione della titolarità / responsabilità / contitolarità tra i diversi soggetti che ruotano intorno ai trattamenti dei dati personali ai sensi del GDPR. Una quasi inesauribile fonte di considerazioni, tanto più in settori particolarmente complessi come quello della ricerca scientifica.
Industria farmaceutica e salute: la riforma secondo Garattini
La lettura incrociata delle ultime normative crea non poca confusione: non sempre è facile riconoscere la/le finalità del trattamento dei dati personali dei soggetti coinvolti nei trial.
Basti pensare alla distinzione tra “scopo di ricerca” e “fini di cura del paziente”: i dati contenuti nella cartella clinica di un paziente sono gli stessi, ma il loro trattamento è ben diverso se effettuato per l’utilizzo ai fini di cura del paziente (di cui il centro sanitario rimane titolare), oppure per la progettazione ed esecuzione di un protocollo di sperimentazione.
In questo caso, c’è chi ritiene che il medesimo centro sanitario debba essere considerato come responsabile del trattamento, rimanendo lo sponsor il Titolare della sperimentazione clinica.
Le difficoltà di determinazione dei ruoli privacy tra i player coinvolti sono causate innanzitutto nella carenza di una comune (e certa) interpretazione normativa dei concetti di “Titolare” e “Responsabile”[3].
Vediamo nel dettaglio.
Sperimentazione clinica e ruoli privacy: gli attori del processo
Uno studio clinico può svilupparsi all’interno di due macrocategorie: studi interventistici / studi osservazionali.
In ogni studio, interviene una molteplicità dei soggetti, ciascuno con un proprio ambito di attività e precise responsabilità, a volte condivise.
È quindi necessario un breve excursus sugli attori della sperimentazione clinica, a partire dalle definizioni contenute nelle GCP-Good Clinical Practices:
Le autorità regolatorie
Le autorità regolatorie emanano disposizioni normative e con i comitati etici effettuano la revisione dei dati provenienti dagli studi clinici; per l’Italia, tale ruolo spetta all’AIFA, l’Agenzia Italiana del Farmaco.
I comitati etici
I comitati etici hanno la responsabilità di garantire la tutela dei diritti, della sicurezza e del benessere dei soggetti in sperimentazione e di fornire pubblica garanzia di tale tutela. Sono composti da esperti in materie scientifiche, cliniche, mediche, giuridiche ed etico-morali, nonché da rappresentanti delle associazioni di volontariato e delle strutture cliniche in cui vengono condotte le sperimentazioni.
Esprimono pareri sulle richieste di studi clinici sull’uomo, nonché sulle richieste di uso compassionevole di farmaci o dispositivi. Su richiesta di qualsiasi soggetto interessato, possono svolgere, inoltre, funzione consultiva in relazione a questioni etiche connesse con le attività scientifiche e assistenziali, allo scopo di proteggere e promuovere i valori della persona umana;
Lo sponsor
Lo sponsor è il promotore, ovverosia “un individuo, una società, un’istituzione, oppure un’organizzazione che, sotto la propria responsabilità, dà inizio, gestisce e/o finanzia uno studio clinico”.
Lo sponsor si avvale spesso di un’organizzazione di ricerca a contratto (CRO), rimanendo peraltro l’unico soggetto responsabile della qualità e dell’integrità dei dati di cui alla sperimentazione, anche occupandosi delle richieste autorizzative e delle relazioni con le autorità regolatorie ai fini dell’ottenimento delle dovute approvazioni.
Prima dell’avvio della ricerca, identifica (e ne verifica l’idoneità de) i possibili centri partecipanti; predispone il protocollo di studio e ne verifica l’osservanza; redige i consensi informati rivolti ai partecipanti alla sperimentazione e si occupa della gestione dei relativi dati personali, inclusi i dati sanitari; nomina personale medico per le consulenze relative a questioni o temi medici che insorgano nel corso della ricerca.
Deve essere in grado di effettuare analisi statistiche, gestire i Case Report Form (CRF), effettuare il rapporto finale di chiusura della sperimentazione; garantisce la sicurezza durante tutte le fasi dello studio; deve relazionarsi in modo continuativo con le autorità regolatorie, i comitati etici ed i centri clinici coinvolti;
Il centro di sperimentazione
Il centro di sperimentazione/ l’istituzione (sanitaria) sono i luoghi in cui vengono effettivamente condotte le attività collegate allo studio. La definizione include ogni ente o struttura pubblica o privata, ambulatori medici o odontoiatrici in cui vengono condotti studi clinici;
Il monitor o CRA-Clinical Research Associate
Il monitor (o Clinical Research Associate – CRA) è il responsabile del monitoraggio che “deve garantire, conformemente alle richieste dello sponsor, che la sperimentazione venga condotta e documentata in modo appropriato”.
In altre parole, l’obiettivo è quello di verificare che i diritti e il benessere dei soggetti siano tutelati (controllo e verifica del consenso informato), che i dati siano accurati (controllo incrociato dei dati inseriti in CRF) e che la sperimentazione sia condotta in conformità al protocollo e alle GCP.
Intermedia tra sponsor e lo sperimentatore e, prima dell’avvio della sperimentazione, il Monitor si assicura che il centro e lo staff abbiano le qualifiche e le risorse adeguate alla conduzione dello studio. A progetto avviato, qualora rilevi errori o inesattezze, ha l’obbligo di comunicare alle parti coinvolte il mancato rispetto del protocollo, delle GCP o delle relative procedure;
L’Organizzazione di Ricerca a Contratto (o CRO-Contract Research Organization)
L’Organizzazione di Ricerca a Contratto (o Contract Research Organization – CRO) è la persona o organizzazione (commerciale, accademica, o di altro tipo) con cui lo sponsor ha stipulato un contratto per svolgere una o più mansioni e funzioni nell’ambito dello studio;
Il soggetto dello studio o Trial Subject
Il Soggetto dello studio (o Trial Subject) è l’individuo che partecipa ad uno studio clinico, a cui viene somministrato il/i prodotto/i in sperimentazione oppure che fa parte del gruppo di controllo; ad ogni partecipante, viene assegnato un codice univoco per tutelarne l’identità.
Lo sperimentatore (o Investigator)
Lo sperimentatore (o Investigator) è il responsabile della conduzione dello studio clinico presso un centro di sperimentazione.
Deve ben conoscere il protocollo di studio, il prodotto oggetto del protocollo e le GCP. Un compito essenziale dello sperimentatore riguarda la raccolta del consenso informato da parte dei partecipanti allo studio, dopo avere fornito tutte le necessarie informazioni sulla conduzione della sperimentazione;
Il coordinatore dello studio (o Data Manager)
Il coordinatore dello studio (o Data Manager) ha funzioni di supporto, facilitazione e coordinamento delle attività relative al protocollo.
È il referente di tutti i soggetti coinvolti nella sperimentazione (sponsor, CRO, CRA, staff del centro, ecc.). Si occupa della gestione del CRF, partecipa alla preparazione, gestione e invio dei campioni biologici, alla gestione del farmaco (rifornimento, contabilità, conservazione, assegnazione, restituzione, smaltimento), della conservazione della documentazione e della gestione del Trial Master File.
Effettua il coordinamento dello staff del centro per l’organizzazione delle visite ai partecipanti, mantiene i contatti con i soggetti arruolati, si occupa delle comunicazioni con il comitato etico insieme allo sponsor ed allo sperimentatore.
Sperimentazione clinica e ruoli privacy: i dubbi sulla contitolarità sponsor/centro clinico
Per capire quale sia il ruolo privacy da attribuire a ciascun operatore (che effettua trattamenti di dati personali nell’esecuzione di servizi su richiesta o per conto di un altro soggetto), non si può prescindere dall’esame della natura e delle caratteristiche tipiche dell’attività concretamente svolta, in conformità sia agli accordi contrattuali in essere, sia alle eventuali previsioni normative applicabili.
Partendo quindi dall’esame delle sintetiche descrizioni che precedono, in linea di principio, è possibile tracciare una breve sintesi su sperimentazione clinica e ruoli privacy.
- Titolari del trattamento: le Autorità Regolatorie, i Comitati Etici, gli sponsor (promotori) ed i centri di sperimentazione;
- Responsabili del trattamento: le CRA e le CRO;
- Autorizzati al trattamento: gli sperimentatori ed i data manager
- Interessati: i soggetti dello studio (pazienti).
Ma, a questo punto, il rapporto privacy tra sponsor e centro clinico è sempre di contitolarità, di titolarità autonoma o di titolare/responsabile?
Nel 2010, sul tema ruoli titolare/responsabile, il Working Party 29[4], poi diventato EDPB, ha affermato:
“Sia i centri di sperimentazione che i finanziatori prendono decisioni importanti quanto alle modalità di trattamento dei dati personali relativi ai test clinici. Di conseguenza, possono essere considerati corresponsabili del trattamento. La relazione fra il finanziatore e i centri di sperimentazione potrebbe essere interpretata in modo diverso nei casi in cui il finanziatore determini le finalità e gli aspetti fondamentali dei mezzi, lasciando invece al ricercatore uno strettissimo margine di manovra.”
La conclusione sarebbe quindi che il centro di sperimentazione e lo sponsor debbano essere considerati con-titolari dei dati.
Anche la successiva versione delle Linee Guida 7/2020 ha precisato che, se il centro di sperimentazione e lo sponsor condividono la stesura del protocollo di studio, vanno considerati contitolari del trattamento, in quanto determinerebbero congiuntamente la finalità e i mezzi essenziali del trattamento.
Invece, nel caso in cui il protocollo sia predisposto esclusivamente dallo sponsor, questi sarebbe il titolare del trattamento ed il centro clinico si porrebbe come responsabile.
La tesi della contitolarità è diffusa soprattutto in altri Paesi europei, ma non convince fino in fondo, così come ci risulta difficile seguire e perseguire la stessa soluzione per tutti gli studi clinici indistintamente, con una impostazione privacy aprioristica e preconfezionata.
Partendo dalla definizione, i soggetti che “determinano congiuntamente le finalità e i mezzi del trattamento … sono contitolari del trattamento” (art. 26, GDPR), ci chiediamo:
- se gli scopi di cura e gli scopi di ricerca hanno obiettivi diversi (nell’utilizzo dei dati del paziente), davvero vi è sempre una determinazione congiunta delle finalità, anche in caso di predisposizione condivisa del protocollo?
- se lo sponsor non può raccogliere i dati personali dei pazienti direttamente ed anzi, li deve ricevere dal centro di sperimentazione in via pseudonimizzata e, contestualmente, se il centro medesimo, al contrario, può e deve necessariamente trattare i medesimi dati “in chiaro” (proprio per effettuare le attività di cura), non appare in qualche modo contraddittorio dire che il centro e lo sponsor siano contitolari? E come farebbe, in via alternativa, il centro a comportarsi come responsabile del trattamento nominato dal promotore?
Pur non avendo certezze, se non sulla necessità di applicare in modo rigoroso il principio di accountability (e quindi motivando tutte le scelte operate dai soggetti coinvolti nella determinazione dei ruoli privacy e in funzione dei flussi di dati personali), verrebbe da concludere che il centro clinico ed i promotori operino (sempre) in modo indipendente, con scopi e responsabilità distinte, configurandosi, dunque, quali titolari autonomi, a prescindere dal fatto che abbiano collaborato o meno alla redazione congiunta del protocollo di sperimentazione.
Le operazioni di trattamento effettuate dal promotore avrebbero comunque contenuto diverso rispetto a quelle poste in essere dal centro di sperimentazione, con rispettiva autonoma organizzazione nella definizione delle relative misure di sicurezza, in particolare nella gestione delle attività di comunicazione dei dati a soggetti terzi (in qualità di titolari autonomi o di responsabili), di conservazione, aggiornamento e monitoraggio della documentazione relativa al trial (ivi inclusi, in particolare, la raccolta e la conservazione a norma dei consensi informati e dei consensi privacy, laddove necessari).
Sperimentazione clinica e ruoli privacy: le altre relazioni da considerare
La relazione tra sponsor e centro clinico non è l’unica da prendere in considerazione: in funzione delle attività svolte e dei ruoli contrattuali o di legge assunti, tutte le figure partecipanti ad un progetto di sperimentazione clinica assumono altrettante posizioni privacy, con rilievi e responsabilità specifiche nell’ambito della protezione dei dati personali.
In ordine di apparizione, guest star di questi processi sono le CRO, il cui rapporto è contrattualizzato di norma con gli sponsor, a cui vengono affidati alcuni servizi e compiti nell’ambito dello specifico trial.
Il rapporto tra promotore e CRO in ambito privacy si inquadra in quello disciplinato dall’art. 28 GDPR, agendo la CRO come responsabile del trattamento.
Questo schema contrattuale non è in linea di massima oggetto di contestazioni: la CRO non determina le finalità del trattamento e agisce in subordine alle istruzioni del titolare del trattamento.
Sorgono dubbi se si pensa, invece, al fatto che le modalità di trattamento (e le relative misure di sicurezza, anche in ottica di privacy by default) possono in effetti essere marcatamente definite dalla CRO, che spesso e volentieri rappresenta il “braccio armato” dello sponsor nell’implementazione di piattaforme, software e sistemi di comunicazione dei dati di ricerca, condivisi in prima battuta con i sistemi informatici dei centri di ricerca (in uscita, in entrata e pseudonimizzati), ma anche con le altre funzioni coinvolte, incluse le CRA e i monitor.
A propria volta, il CRA/Monitor svolge i propri servizi, a seconda dei casi, in favore del promotore ovvero della CRO incaricata dal promotore, con il compito di condurre lo studio clinico e di monitorare di fatto lo svolgimento corretto delle varie attività.
Anche in questo caso, il ruolo privacy loro attribuito è quello del responsabile del trattamento, diversamente, invece, dallo sperimentatore e dal data manager, che, agendo per lo più in qualità di collaboratori (interni) dei promotori o delle CRO, si identificano quali soggetti autorizzati al trattamento ai sensi dell’art. 29 GDPR.
Nessun particolare dubbio neppure sulla qualificazione privacy di tali soggetti, purché tali impostazioni siano poi operativamente supportate da uno specifico assessment sulle attività loro commissionate.
Conclusioni
A nostro avviso va apertamente riconosciuto e condiviso pubblicamente che l’applicazione del principio della privacy by design nel settore della ricerca scientifica (i.e. progettare la protezione dei dati personali prima dell’avvio della sperimentazione clinica e del trattamento dei dati personali dei pazienti arruolati) non è un tema né semplice, né immediato da risolvere, anche solo per la molteplicità degli attori coinvolti e per la presenza di dati personali non solo comuni, ma anche “sensibili” (cfr. art. 9 GDPR).
Tuttavia, se tutti i soggetti coinvolti non agissero accuratamente nelle varie fasi di raccolta, analisi, gestione e conservazione dei dati raccolti nel corso del trial, la stessa sperimentazione scientifica non esisterebbe.
Infatti, anche i soggetti che operano un trattamento pseudonimizzato dei dati dei pazienti sono soggetti all’applicazione del GDPR e delle normative (anche non privacy) correlate.
Ed è al momento di determinare le modalità di trattamento che i titolari (e i responsabili, ciascuno per la propria parte) devono attuare misure e garanzie opportune per attuare efficacemente i principi di protezione dei dati.
In merito, va altresì ricordato che il principio chiave su cui ruota il CTR è quello della trasparenza dei risultati della ricerca clinica, anche e soprattutto nei confronti dei pazienti: l’accesso ai loro dati personali è requisito prioritario per la divulgazione dei risultati della ricerca (ed il successivo sviluppo commerciale dei prodotti farmaceutici), ma contestualmente deve trovare applicazione la normativa privacy, a tutela della riservatezza dei singoli pazienti.
Note
- Regolamento UE n.536/2014 sulla sperimentazione clinica di medicinali per uso umano ↑
- https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1533155 ↑
- Secondo le definizioni riportate nell’art. 4, par. 7 e 8, GDPR e nonostante le più recenti Linee Guida n. 07/2020 su tali concetti – https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en – le “Linee Guida 07/2020″ ↑
- Parere del Working Party 29 n. 1/2010 del 16 febbraio 2010, esempio n. 25 ↑