Il 7 aprile l’Autorità Garante Privacy ha adottato il Provvedimento 118, con il quale cui ha espresso parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, alla conduzione di uno studio clinico multicentrico, osservazionale, retrospettivo, non farmacologico.
Il tema è di estrema attualità e interesse, visto l’elevato numero di studi clinici, in particolare retrospettivi, che frequentemente sono presentati ai comitati etici di tutta Italia e le possibilità, facilitate dagli strumenti tecnologici, di un effettivo riuso dei dati personali e di salute originariamente acquisiti per finalità di diagnosi e cura.
Whistleblowing con violazioni del GPDR: il Garante privacy sanziona azienda ospedaliera e provider
Indice degli argomenti
Il caso: la richiesta di consultazione preventiva
Il Garante si è pronunciato su una istanza di consultazione preventiva presentata, ai sensi degli articoli 35 e 36 del GDPR e dell’articolo 110 del Decreto Legislativo 196 del 2003, il Codice Privacy, dal Titolare che, d’intesa con la Regione di riferimento, ha privilegiato un approccio improntato alla riflessione congiunta in merito al trattamento. L’art. 110 del Codice, come noto, individua i casi in cui l’attività di ricerca scientifica può avviarsi senza acquisizione del consenso dell’interessato a cui si riferiscono i dati oggetto di trattamento, ipotesi che, ad esempio, riguarda gli studi retrospettivi relativi a pazienti deceduti o e che risulta comunque difficile contattare.
Lo studio sottoposto all’Autorità aveva quale obiettivo primario quello di analizzare e confrontare informazioni relative agli accessi agli Ospedali di una intera Regione, in corso di emergenza Covid-19, rispetto agli accessi avvenuti nello stesso ambito territoriale nei 5 anni precedenti. Ai fini dello studio il Titolare ha ritenuto che non fosse possibile acquisire il consenso degli interessati per ragioni di tipo “organizzativo” (dettagliatamente illustrate nel Provvedimento), di tipo economico e di risorse umane disponibili dello studio no profit e correlate al tempo necessario a contattare i numerosi interessati che avrebbe potuto comprometterne il raggiungimento degli obiettivi.
L’iniziativa, dunque, non poteva avere come fondamento di liceità il consenso degli interessati, così come previsto dalla lettera a) del primo paragrafo dell’articolo 6, e degli articoli 7 e 9 del RGPD, perché “… a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca”.
La richiesta di consultazione preventiva inoltrata all’Autorità teneva conto delle disposizioni in materia di trattamento dei dati personali e di salute per fini scientifici e di ricerca, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (indicate nel GDPR, nel Codice Privacy oltre che nei Provvedimenti n. 515 del 19 dicembre 2018 e n. 146 del 5 giugno 2019 della stessa Autorità), e risultava corredata, oltre che di specifica valutazione di impatto, anche del parere del Comitato Etico territorialmente competente, degli atti di autorizzazione alla conduzione dello studio da parte dell’Azienda promotrice e dei modelli di autorizzazione e istruzioni, ai sensi degli 29 del GDPR e 2-quaterdecies del Codice e in base a diversi profili di responsabilità, rivolte ai ricercatori coinvolti.
Le indicazioni del Garante privacy
A seguito delle osservazioni formulate nell’ambito dell’istruttoria preliminare condotta dall’Autorità si è resa necessaria una revisione del progetto di studio inizialmente elaborato. L’originaria versione del protocollo di studio prevedeva il trattamento di una ingente mole di dati personali, già trasmessi dalle singole Aziende Sanitarie alla Regione di appartenenza per finalità diverse da quella di ricerca, mediante comunicazione da parte della stessa, in forma pseudonimizzata, all’Azienda sanitaria promotrice dello studio.
Alla luce del quadro normativo vigente, l’Autorità ha evidenziato, fornendo al Titolare una interpretazione chiarificatrice delle disposizioni normative, come la realizzazione di tale flusso di dati avrebbe determinato una comunicazione di dati di salute tra la Regione e l’Azienda priva di una specifica base giuridica.
Sempre l’Autorità ha puntualizzato che:
- il ricorso all’art. 110 del Codice non può rappresentare di per sé sola la base giuridica che legittimi la Regione a comunicare, per scopi di ricerca scientifica, alle Aziende Sanitarie, dati personali raccolti per finalità diverse e in virtù dell’esistenza di un interesse pubblico;
- l’istanza di consultazione preventiva avanzata dall’Azienda Sanitaria ai sensi dell’articolo 110 del Codice Privacy è una norma che consente il trattamento di dati personali allorquando questo sia fondato sul consenso degli interessati, senza sostituirsi allo stesso quale fondamento di liceità per il trattamento dei dati personali. Tale misura “non può pertanto essere utilizzata surrettiziamente per svolgere operazioni di trattamento per le quali il consenso degli interessati non potrebbe costituire un idoneo presupposto giuridico” e non può costituire la base normativa per consentire, a soggetti che trattano dati per finalità amministrative e in virtù di un pubblico interesse, di comunicare tali dati per scopi di ricerca scientifica;
- se il trattamento dei dati personali a fini (ab origine) di ricerca avviene in forza del consenso dell’interessato (o in seguito al ricorso all’art. 110 del Codice), il diritto alla revoca del consenso, laddove raccolto, è sempre ammesso. Non può invece essere garantito il diritto di opposizione qualora il titolare dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, i diritti e le libertà dell’interessato. Tale diritto inoltre non spetta, in particolare, quando i dati personali siano trattati a fini di ricerca a norma dell’articolo 89, paragrafo 1, per l’esecuzione di un compito di interesse pubblico (art. 21, par. 1 e 6, RGPD). Ne deriva che il riuso dei dati raccolti dalla Regione in virtù del pubblico interesse cagionerebbe una ingiustificata limitazione dei diritti degli interessati.
Le modifiche apportate
Alla luce di tali osservazioni, il Protocollo dello studio è stato modificato da monocentrico a multicentrico, prevedendo la raccolta dei dati personali direttamente presso i Centri partecipanti – quali autonomi titolari del trattamento – e la successiva loro trasmissione al centro Promotore, con conseguente revisione della Valutazione di impatto e delle Informazioni sul trattamento dei dati personali, e successivo emendamento del parere già fornito dal Comitato Etico.
L’Autorità, preso atto di quanto dichiarato dal Titolare, ha evidenziato che lo stesso ha condotto un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame e ha predisposto misure appropriate per tutelare i diritti e le libertà degli interessati e “per garantire l’effettività del principio di trasparenza”, autorizzando l’Azienda sanitaria alla realizzazione dello studio.
Conclusione
In conclusione, il provvedimento analizzato offre, non solo importanti spunti di tipo metodologico in relazione al corretto inquadramento delle modalità di conduzione di studi retrospettivi per i quali non è possibile acquisire il consenso degli interessati, ma ha anche dato modo all’Autorità di sottolineare la valenza operativa e la concretezza dei principi di liceità, correttezza e trasparenza nei confronti degli interessati del trattamento dei dati personali.
L’Autorità, senza frapporre ostacoli alle attività di ricerca ma consentendo ai Titolari di procedere, avvalendosi degli strumenti previsti in particolare anche dagli articoli 35 e 36 del GDPR, nel perseguimento degli scopi istituzionali nell’ambito della ricerca, ha fornito agli stessi una direzione da seguire, avendo come riferimento i principi della normativa e l’imprescindibile rilievo dell’analisi e prevenzione del rischio legato al trattamento.
