L'approfondimento

Ricerca medica e studi scientifici, ecco come gestire i dati: le indicazioni del Garante privacy

Un provvedimento del Garante privacy, adottato in seguito a una consultazione preventiva, permette di approfondire le corrette modalità di gestione dei dati, alla luce del GDPR, nell’ambito della ricerca medica, biomedica e degli studi epidemiologici

13 Mag 2022
P
Filomena Polito

Responsabile Protezione Dati in ambito sanitario, DPO certificato UNI 11697:2017

G
Daniela Guarenghi

Esperta privacy

Il 7 aprile l’Autorità Garante Privacy ha adottato il Provvedimento 118, con il quale cui ha espresso parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, alla conduzione di uno studio clinico multicentrico, osservazionale, retrospettivo, non farmacologico.

Il tema è di estrema attualità e interesse, visto l’elevato numero di studi clinici, in particolare retrospettivi, che frequentemente sono presentati ai comitati etici di tutta Italia e le possibilità, facilitate dagli strumenti tecnologici, di un effettivo riuso dei dati personali e di salute originariamente acquisiti per finalità di diagnosi e cura.

Whistleblowing con violazioni del GPDR: il Garante privacy sanziona azienda ospedaliera e provider

Il caso: la richiesta di consultazione preventiva 

Il Garante si è pronunciato su una istanza di consultazione preventiva presentata, ai sensi degli articoli 35 e 36 del GDPR e dell’articolo 110 del Decreto Legislativo 196 del 2003, il Codice Privacy, dal Titolare che, d’intesa con la Regione di riferimento, ha privilegiato un approccio improntato alla riflessione congiunta in merito al trattamento. L’art. 110 del Codice, come noto, individua i casi in cui l’attività di ricerca scientifica può avviarsi senza acquisizione del consenso dell’interessato a cui si riferiscono i dati oggetto di trattamento, ipotesi che, ad esempio, riguarda gli studi retrospettivi relativi a pazienti deceduti o e che risulta comunque difficile contattare.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Lo studio sottoposto all’Autorità aveva quale obiettivo primario quello di analizzare e confrontare informazioni relative agli accessi agli Ospedali di una intera Regione, in corso di emergenza Covid-19, rispetto agli accessi avvenuti nello stesso ambito territoriale nei 5 anni precedenti. Ai fini dello studio il Titolare ha ritenuto che non fosse possibile acquisire il consenso degli interessati per ragioni di tipo “organizzativo” (dettagliatamente illustrate nel Provvedimento), di tipo economico e di risorse umane disponibili dello studio no profit e correlate al tempo necessario a contattare i numerosi interessati che avrebbe potuto comprometterne il raggiungimento degli obiettivi.

L’iniziativa, dunque, non poteva avere come fondamento di liceità il consenso degli interessati, così come previsto dalla lettera a) del primo paragrafo dell’articolo 6, e degli articoli 7 e 9 del RGPD, perché “… a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca”.

La richiesta di consultazione preventiva inoltrata all’Autorità teneva conto delle disposizioni in materia di trattamento dei dati personali e di salute per fini scientifici e di ricerca, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (indicate nel GDPR, nel Codice Privacy oltre che nei Provvedimenti n. 515 del 19 dicembre 2018 e n. 146 del 5 giugno 2019 della stessa Autorità), e risultava corredata, oltre che di specifica valutazione di impatto, anche del parere del Comitato Etico territorialmente competente, degli atti di autorizzazione alla conduzione dello studio da parte dell’Azienda promotrice e dei modelli di autorizzazione e istruzioni, ai sensi degli 29 del GDPR e 2-quaterdecies del Codice e in base a diversi profili di responsabilità, rivolte ai ricercatori coinvolti.

Le indicazioni del Garante privacy

A seguito delle osservazioni formulate nell’ambito dell’istruttoria preliminare condotta dall’Autorità si è resa necessaria una revisione del progetto di studio inizialmente elaborato. L’originaria versione del protocollo di studio prevedeva il trattamento di una ingente mole di dati personali, già trasmessi dalle singole Aziende Sanitarie alla Regione di appartenenza per finalità diverse da quella di ricerca, mediante comunicazione da parte della stessa, in forma pseudonimizzata, all’Azienda sanitaria promotrice dello studio.

Alla luce del quadro normativo vigente, l’Autorità ha evidenziato, fornendo al Titolare una interpretazione chiarificatrice delle disposizioni normative, come la realizzazione di tale flusso di dati avrebbe determinato una comunicazione di dati di salute tra la Regione e l’Azienda priva di una specifica base giuridica.

Sempre l’Autorità ha puntualizzato che:

  • il ricorso all’art. 110 del Codice non può rappresentare di per sé sola la base giuridica che legittimi la Regione a comunicare, per scopi di ricerca scientifica, alle Aziende Sanitarie, dati personali raccolti per finalità diverse e in virtù dell’esistenza di un interesse pubblico;
  • l’istanza di consultazione preventiva avanzata dall’Azienda Sanitaria ai sensi dell’articolo 110 del Codice Privacy è una norma che consente il trattamento di dati personali allorquando questo sia fondato sul consenso degli interessati, senza sostituirsi allo stesso quale fondamento di liceità per il trattamento dei dati personali. Tale misura “non può pertanto essere utilizzata surrettiziamente per svolgere operazioni di trattamento per le quali il consenso degli interessati non potrebbe costituire un idoneo presupposto giuridico” e non può costituire la base normativa per consentire, a soggetti che trattano dati per finalità amministrative e in virtù di un pubblico interesse, di comunicare tali dati per scopi di ricerca scientifica;
  • se il trattamento dei dati personali a fini (ab origine) di ricerca avviene in forza del consenso dell’interessato (o in seguito al ricorso all’art. 110 del Codice), il diritto alla revoca del consenso, laddove raccolto, è sempre ammesso. Non può invece essere garantito il diritto di opposizione qualora il titolare dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, i diritti e le libertà dell’interessato. Tale diritto inoltre non spetta, in particolare, quando i dati personali siano trattati a fini di ricerca a norma dell’articolo 89, paragrafo 1, per l’esecuzione di un compito di interesse pubblico (art. 21, par. 1 e 6, RGPD). Ne deriva che il riuso dei dati raccolti dalla Regione in virtù del pubblico interesse cagionerebbe una ingiustificata limitazione dei diritti degli interessati.

Le modifiche apportate

Alla luce di tali osservazioni, il Protocollo dello studio è stato modificato da monocentrico a multicentrico, prevedendo la raccolta dei dati personali direttamente presso i Centri partecipanti – quali autonomi titolari del trattamento – e la successiva loro trasmissione al centro Promotore, con conseguente revisione della Valutazione di impatto e delle Informazioni sul trattamento dei dati personali, e successivo emendamento del parere già fornito dal Comitato Etico.

L’Autorità, preso atto di quanto dichiarato dal Titolare, ha evidenziato che lo stesso ha condotto un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame e ha predisposto misure appropriate per tutelare i diritti e le libertà degli interessati e “per garantire l’effettività del principio di trasparenza”, autorizzando l’Azienda sanitaria alla realizzazione dello studio.

Conclusione

In conclusione, il provvedimento analizzato offre, non solo importanti spunti di tipo metodologico in relazione al corretto inquadramento delle modalità di conduzione di studi retrospettivi per i quali non è possibile acquisire il consenso degli interessati, ma ha anche dato modo all’Autorità di sottolineare la valenza operativa e la concretezza dei principi di liceità, correttezza e trasparenza nei confronti degli interessati del trattamento dei dati personali.

L’Autorità, senza frapporre ostacoli alle attività di ricerca ma consentendo ai Titolari di procedere, avvalendosi degli strumenti previsti in particolare anche dagli articoli 35 e 36 del GDPR, nel perseguimento degli scopi istituzionali nell’ambito della ricerca, ha fornito agli stessi una direzione da seguire, avendo come riferimento i principi della normativa e l’imprescindibile rilievo dell’analisi e prevenzione del rischio legato al trattamento.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3