Istituto Italiano Privacy | Proposta di riforma per la privacy e la ricerca scientifica

10 Gen Proposta di riforma per la privacy e la ricerca scientifica – Tavolo Salute di State of Privacy

Posted at 08:02h in Articoli, homepage news by IIP

PROPOSTA DI MODIFICA LEGISLATIVA IN MATERIA DI PROTEZIONE DEI DATI RELATIVI ALLA SALUTE E RICERCA SCIENTIFICA OSSERVAZIONALE RETROSPETTIVA IN AMBITO MEDICO, BIOMEDICO ED EPIDEMIOLOGICO: EMENDAMENTO ALL’ART. 110 DEL CODICE PRIVACY ITALIANO

10 gennaio 2024

*Il presente documento è rilasciato con licenza CC-BY 4.0 Attribuzione, quindi in caso di utilizzo di sue parti è necessario citare la fonte e gli autori – https://creativecommons.org/licenses/by/4.0/deed.it. Il testo dell’emendamento all’art. 110 codice privacy è, invece, da intendersi di pubblico dominio.

Origine e obiettivo del documento

Il presente documento costituisce un punto di arrivo delle discussioni e dell’impegno, dal 2022 a oggi, del Tavolo Salute nell’ambito dell’iniziativa “State of Privacy” promossa dal Garante per la protezione dei dati personali (https://stateofprivacy.it/tavolo-salute-3/); il documento è frutto, altresì, di un lavoro di riflessione e stesura che è andato oltre i Componenti stabili del Tavolo Salute e che ha visto partecipare intensamente il Cluster Lombardo Scienze della Vita (https://lombardialifesciences.it/). Si noti che questo documento non rappresenta una posizione ufficiale del Garante per la protezione dei dati personali, ma solo il risultato del confronto tra gli stakeholder coinvolti.

Esso intende: a) illustrare i motivi per cui l’attuale disciplina italiana in materia di protezione dei dati personali nella ricerca medica, biomedica ed epidemiologica ha creato – per un filone essenziale della ricerca scientifica in ambito sanitario: gli studi osservazionali retrospettivi – limiti che non erano imposti dalla normativa europea a protezione dei dati personali (GDPR) e che rallentano e complicano la ricerca; b) prospettare un emendamento al Codice in materia di protezione dei dati personali, per superare tali limiti senza perdere livelli di garanzia.

Il documento è stato scritto – tenendo conto dei contributi via via emersi dal dialogo tra gli stakeholder coinvolti – dagli avvocati Diego Fulco, Direttore Scientifico dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (https://www.istitutoitalianoprivacy.it/), e Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati e chair del Tavolo Salute di State of Privacy.

———–

La ricerca scientifica in ambito sanitario nel GDPR e nella legislazione italiana

Il GDPR detta una pluralità di norme in materia di ricerca scientifica, ispirate a una ragionevole considerazione delle sue peculiarità metodologiche, del suo fabbisogno di dati personali, della sua rilevanza sociale. Anzitutto, l’art. 89, secondo cui il trattamento con questa finalità deve essere soggetto a garanzie adeguate per i diritti e le libertà dell’interessato; poi l’art. 5.1, b), secondo cui un trattamento dei dati personali ulteriore rispetto alle finalità iniziali, se svolto per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non deve essere considerato incompatibile con le finalità iniziali; l’art. 5.1, e), secondo cui per fini di ricerca scientifica i dati personali possono essere conservati per periodi più lunghi, purché nel rispetto di adeguate misure tecniche e organizzative; l’art. 9.2, j), che rende non applicabile il divieto di trattare dati sensibili se il trattamento è finalizzato alla ricerca scientifica, se è proporzionato a tale finalità, se rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; l’art. 14.5, b), che permette un rilascio dell’informativa in forma non individuale quando il Titolare – a fini di ricerca scientifica – raccoglie i dati personali presso terzi; gli articoli 17.3, d) e 21.6 che definiscono un regime speciale per l’esercizio, rispettivamente, del diritto di cancellazione e del diritto di opposizione, quando la finalità perseguita è di ricerca scientifica.

Il GDPR non detta norme specifiche sulla ricerca scientifica effettuata su dati sanitari nell’ambito clinico. Viceversa, sulla scia di quanto già aveva fatto nel decreto legislativo 196/2003 (“vecchio codice privacy”), anche nel decreto legislativo 101/2018 che ha modificato il decreto legislativo 196/2003 per adeguarlo al GDPR (“nuovo codice privacy”), il legislatore italiano ha dettato una disciplina speciale per la ricerca medica, biomedica ed epidemiologica. Lo ha fatto all’art. 110. Questa norma è importante anche per un altro motivo: per la ricerca in questo settore, essa implicitamente esclude il legittimo interesse del Titolare come possibile base giuridica del trattamento dei dati personali. In realtà, come rilevato dal Comitato Europeo a protezione dei dati personali nel parere 5/2019 sull’interazione tra il GDPR e il Regolamento sulla sperimentazione clinica, il GDPR è “neutrale” rispetto alla base giuridica su cui deve poggiare il trattamento di dati personali a fini di ricerca in ambito clinico: essa può essere, a seconda dei casi, l’obbligo normativo, il legittimo interesse del Titolare o il consenso dell’interessato. Invece, l’art. 110 del “nuovo codice privacy” indica due casi eccezionali in cui il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario: uno è quello in cui la ricerca è effettuata in base a disposizioni normative, l’altro è quello che sarà approfonditamente descritto a seguire.

Prima di affrontare le criticità derivanti dall’attuale formulazione dell’art. 110 del “nuovo codice privacy” è utile verificare la portata concettuale di ricerca scientifica e ricerca medica, biomedica ed epidemiologica.

La ricerca scientifica applica il “metodo scientifico”, caratterizzato dall’osservazione dei fenomeni, dalla formulazione e verifica di un’ipotesi per tali fenomeni e dalla conclusione sulla validità dell’ipotesi. Secondo il Comitato Europeo per la protezione dei dati personali (Linee Guida 5/2000), per “ricerca scientifica” deve intendersi un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi. Quindi, può esistere ricerca scientifica in molti ambiti.

La ricerca medica, biomedica ed epidemiologica si configura come una species del genus ricerca scientifica. La ricerca medica e biomedica è la ricerca clinica in cui il rilievo scientifico è strettamente connaturato con l’atto medico e con l’attività assistenziale rivolta al singolo paziente assistito; la ricerca epidemiologica è uno studio volto alla ricerca di una relazione causale fra uno (o più) fattori di rischio ed una (o più) condizioni morbose (malattia, disabilità, morte). Questa ricerca, in qualche modo riferibile al settore sanitario, è caratterizzata da una moltitudine di norme ad hoc, che si aggiungono alle regole generali sulla ricerca scientifica. Fra esse, la più rilevante è il Regolamento UE 536/2014 sulla sperimentazione clinica.

La ricerca medica, biomedica ed epidemiologica può essere svolta esclusivamente da personale con specifiche competenze professionali nel settore di riferimento, soggetto a controlli periodici (c.d. audit) finalizzati a verificare il rispetto delle stringenti regole legislative e deontologiche previste. Inoltre, per la ricerca medica, biomedica ed epidemiologica è fisiologico e per certi aspetti frequente che, quando vi sono elementi discordanti o incerti, lo sperimentatore (o il Centro su richiesta di uno sperimentatore) debba de-identificare i dati codificati (risalendo all’identità del paziente) attraverso la cartella clinica. Infine, la ricerca medica, biomedica ed epidemiologica si caratterizza per la rilevanza del profilo etico, in base al quale l’arruolamento dei pazienti in uno studio clinico non deve avvenire solo a beneficio della scienza e della collettività, ma deve comportare, almeno astrattamente, anche un beneficio per il soggetto arruolato.

La ricerca medica, biomedica ed epidemiologica è quella branca della ricerca scientifica accessoria all’attività clinica, svolta da organizzazioni titolate ad effettuarla in ragione dello “statuto” applicabile alla loro attività, nel rispetto di precise regole e – in alcuni casi – di un percorso ad hoc dinanzi ai Comitati Etici.

———–

Il problema della raccolta del consenso negli studi osservazionali retrospettivi

In molti studi retrospettivi si lavora su dati sanitari e campioni biologici già disponibili presso i centri di sperimentazione (es. dati sanitari presenti in cartelle cliniche, provette di sangue conservate in frigorifero o in anatomia patologica), ed è frequentissimo che per motivi organizzativi sia necessario includere nel perimetro dello studio persone alle quali sarebbe impossibile rilasciare l’informativa privacy e chiedere il consenso, ad esempio perché defunte o irraggiungibili (ad es. perché residenti in altre Regioni).

Come visto sopra, secondo il Comitato Europeo a protezione dei dati personali il concetto di ricerca scientifica è equiparabile a quello di “progetto di ricerca”. Accade spessissimo che chi mette a punto un progetto di studio osservazionale retrospettivo, abbia bisogno di attingere a dati personali e campioni biologici nella disponibilità di ospedali ed enti di ricerca, raccolti per fini di assistenza sanitaria o per altre ricerche quando quel progetto di ricerca nemmeno esisteva. Trovandosi, quindi, nell’impossibilità di informare gli interessati e di chiedere il loro consenso al trattamento dei loro dati personali per la finalità connessa a quel progetto.

La ricerca scientifica in ambito medico, biomedico ed epidemiologico si nutre da sempre in modo rilevante di “uso secondario” di dati personali, opportunamente codificati e protetti. Sarebbe, quindi, necessario, che il regime giuridico di protezione dei dati personali per questo “uso secondario” contemperasse (come il GDPR permetterebbe di fare) una corretta documentazione da parte dei Titolari delle ragioni che li inducono ad avvalersi di dati già disponibili, degli sforzi compiuti per informare gli interessati e per chiedere il loro consenso ove possibile e delle misure tecniche ed organizzative di sicurezza adottate per proteggere i dati personali (accountability) con una disciplina snella che riduca il minimo gli adempimenti amministrativi.

Come giustamente osservato dal Centro di coordinamento nazionale dei Comitati Etici, “la ricerca osservazionale, nelle sue varie forme, rappresenta un pilastro nel processo di produzione di conoscenza con impatto sulla vita ed i diritti dei pazienti. Ciò deve essere tenuto presente quando si considerano gli aspetti procedurali e normativi che la devono regolare. La normativa che regola attualmente i trials clinici appare vincolata in gran parte agli aspetti contrattuali e registrativi, per cui essa non è applicabile nella ricerca osservazionale. Qualsiasi intervento regolatorio sugli studi osservazionali che non tenga conto della loro natura, rischia di ostacolarne la promozione e la conduzione, paralizzando un settore di ricerca importante. Ogni appesantimento burocratico in ambito osservazionale comporta difficoltà amministrative e aggravi di lavoro e di costi per studi che spesso non hanno accesso a finanziamenti significativi”.

Con la deliberazione del 15 dicembre 2011 – avvalendosi di poteri che aveva sotto il vecchio codice privacy – il Garante aveva aperto una consultazione pubblica sul tema, volta al rilascio di un’autorizzazione generale (poi avvenuto nel 2012). Nel farlo, riconosceva che «un elevato numero di trattamenti di dati idonei a rivelare lo stato di salute è effettuato per la conduzione di studi osservazionali retrospettivi, finalizzati alla ricerca scientifica in campo medico, biomedico o epidemiologico […]. I trattamenti in questione comportano l’utilizzo di dati idonei a rivelare lo stato di salute delle persone assistite presso i centri di cura partecipanti agli studi e raccolti in passato per finalità di prevenzione, diagnosi, cura e riabilitazione degli interessati o per l’esecuzione di precedenti progetti di ricerca, ovvero ricavati da campioni biologici prelevati in passato sempre per finalità di tutela della salute o per l’esecuzione di precedenti progetti di ricerca».

———–

Il precedente regime normativo su questo tema

Il “vecchio codice privacy” prevedeva (all’art. 110) che un Titolare intenzionato a fare una ricerca medica, biomedica ed epidemiologica sulla quale aveva ottenuto un parere favorevole del Comitato Etico, ma che per precisi motivi fosse nell’impossibilità di informare individualmente tutti i soggetti che intendeva includere nella ricerca, e rivolgere loro una richiesta di consenso, poteva realizzare quel trattamento in presenza di un’autorizzazione specifica adottata – dietro sua istanza – dal Garante, oppure di un’autorizzazione generale, rilasciata dal Garante – anche d’ufficio – a un’intera categoria di Titolari.

Basandosi su questa previsione, dopo la consultazione pubblica citata, il 1° marzo 2012 il Garante aveva emesso un’autorizzazione generale al trattamento di dati sensibili per finalità di ricerca scientifica, prescrivendo – per l’ipotesi di impossibilità di informare individualmente gli interessati e di raccogliere il loro consenso – misure uniformi. In questo modo, aveva evitato – a quei Titolari che avevano bisogno di effettuare un trattamento con questa finalità e con queste caratteristiche – di doversi rivolgere al Garante per richiedergli un’autorizzazione specifica.

L’impronta dell’autorizzazione generale del Garante del 2012 era all’insegna di quell’accountability che il GDPR ha reso elemento caratterizzante del sistema di conformità: i Titolari che volevano beneficiare della semplificazione dovevano documentare le loro scelte, i tentativi di informare individualmente gli interessati, ecc. Esso aveva determinato da un lato una responsabilizzazione, dall’altro una significativa semplificazione di adempimenti e di obblighi, decisiva per condurre numerosissimi studi osservazionali.

———–

La riforma dell’art. 110 nel codice privacy del 2018 e le nuove norme, più restrittive

Con il “nuovo codice privacy”, nel 2018, la disciplina legislativa è cambiata. Al comma 1, il “nuovo” art. 110 continua a prevedere che il consenso non è necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In questi casi, la norma ribadisce che il protocollo deve essere oggetto di parere favorevole del competente Comitato Etico. Tuttavia, per potere realizzare questa ricerca senza informare tutti gli interessati ed avere il loro consenso, il Titolare deve: A) adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato; B) sottoporre il progetto di ricerca a preventiva consultazione del Garante ai sensi dell’articolo 36 del GDPR. Poiché all’art. 36.1 il GDPR prevede che oggetto della consultazione del Garante di cui all’art. 36 sia una Valutazione d’impatto ai sensi dell’art. 35 del GDPR operata dal Titolare che si rivolge al Garante, l’adozione delle misure alla lettera A) può avvenire solo dopo la Valutazione d’impatto, che il Titolare deve presentare al Garante.

In generale, l’art. 36.1 del GDPR prevede che la consultazione preventiva del Garante è decisa dal Titolare se l’esito della Valutazione d’impatto indica che il trattamento presenterebbe un rischio elevato in assenza di misure per attenuare il rischio. Tuttavia, l’art. 36.5 del GDPR afferma che il diritto degli Stati membri può prescrivere che i Titolari consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un Titolare per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.

In effetti, la disciplina europea individua tra i trattamenti ascrivibili a un compito di pubblico interesse i trattamenti ascrivibili alla protezione sociale e alla sanità pubblica, indicando al legislatore nazionale il settore d’elezione per l’introduzione di eventuali obblighi di autorizzazione preliminare.

Pur non essendovi tenuto, basandosi su questo spazio lasciatogli dalla normativa europea e senza valorizzare la positiva esperienza di semplificazione introdotta dal Garante nel 2012 e radicatasi nelle prassi del mondo della ricerca scientifica in ambito sanitario, il legislatore del “nuovo codice privacy” ha deciso che una ricerca medica, biomedica ed epidemiologica possa avvenire in assenza di informativa individuale e di consenso della totalità o di una parte degli interessati solo se il Garante la autorizza ai sensi dell’art. 36 del GDPR.

In base al “nuovo codice privacy”, un Titolare che si trovi nelle condizioni descritte nella norma non può più limitarsi a rispettare le prescrizioni prima contenute nell’autorizzazione generale alla ricerca scientifica, ora confluite (con alcune modifiche) nel provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati ai sensi del d.lgs. 101/2018. Il Titolare deve documentare il rispetto di tali prescrizioni nella Valutazione d’impatto e deve aprire un apposito procedimento dinanzi al Garante ai sensi dell’art. 36 del GDPR, e attendere che il Garante fornisca riscontro, entro 14 settimane.

———–

Rapporti fra l’art. 110 e l’art. 110-bis del codice privacy

Per gli studi osservazionali retrospettivi condotti da IRCCS, è ineludibile un’analisi del successivo art. 110-bis, che al comma 4 ha una norma dedicata agli IRCCS, secondo cui non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati personali raccolti per l’attività clinica, a fini di ricerca, da parte degli IRCCS, pubblici e privati, in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell’osservanza di quanto previsto dall’articolo 89 del GDPR. Per capire gli impatti di questa specifica previsione occorre collocarla nel contesto dell’articolo 110-bis.

L’art. 110-bis disciplina il trattamento ulteriore, a fini di ricerca scientifica o a fini statistici, da parte di terzi (autonomi Titolari) dei dati personali raccolti ad altri fini da un altro Titolare. Quando, a causa di particolari ragioni, per questi terzi che ricevono i dati personali dai Titolari che li hanno raccolti in origine, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, o rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca statistica o scientifica, il Garante può autorizzare per finalità di ricerca il trattamento ulteriore di dati personali, anche sensibili, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati, in conformità all’articolo 89 del GDPR. Ciò significa che il Titolare che intenda realizzare un trattamento ulteriore di dati personali per scopi di ricerca scientifica deve, preventivamente, presentare richiesta di autorizzazione al Garante che ha 45 giorni per pronunciarsi in merito, stabilendo le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati. In caso di mancata di risposta entro 45 giorni, il silenzio equivale a rigetto.

Ad una prima lettura, la fattispecie disciplinata dall’art. 110-bis parrebbe sovrapponibile a quella del novellato art. 110. Tuttavia, tra le due fattispecie vi è una differenza: l’art. 110 si riferisce solo ai trattamenti per finalità di ricerca medica, biomedica ed epidemiologica; invece l’art. 110-bis, si riferisce più in generale a tutti i trattamenti per finalità di ricerca scientifica e scopi statistici. Si potrebbe ritenere che l’art. 110-bis.4 del “nuovo codice privacy” legittimi gli IRCCS ad effettuare studi osservazionali retrospettivi anche su dati personali per i quali, per motivi organizzativi, informare gli interessati e chiedere il loro consenso risulterebbe impossibile o implicherebbe uno sforzo sproporzionato. Quest’interpretazione poggerebbe anche sulla circostanza che gli studi retrospettivi sono definiti “ricerca scientifica” e che l’autorizzazione generale del 2012 era stata riferita dal Garante proprio al trattamento di dati sensibili per finalità di ricerca scientifica.

Tuttavia, come visto, il Garante aveva varato quell’autorizzazione ai sensi dell’art. 110 del “vecchio codice privacy”, che aveva perimetro e contenuti vicinissimi a quello attuale. Inoltre, il Garante stesso aveva parlato espressamente, di «conduzione di studi osservazionali retrospettivi, finalizzati alla ricerca scientifica in campo medico, biomedico o epidemiologico». Pertanto, fino a quando non ci sarà un’interpretazione dell’art. 110-bis.4 da parte del del Garante stesso secondo cui tale norma è lex specialis per tutta la ricerca svolta dagli IRCCS con dati personali già disponibili, l’art. 110 del “nuovo codice privacy” (con il relativo meccanismo di consultazione dell’art. 36 del GDPR) sembra applicabile non solo ai tantissimi enti (ospedali, Università, case farmaceutiche, ecc.) che pur non essendo IRCCS, nella loro ordinaria attività di ricerca, hanno bisogno di fare un uso secondario di dati personali disponibili, ma anche a quella parte della ricerca scientifica svolta dagli IRCCS che è formalmente qualificabile come ricerca medica, biomedica ed epidemiologica (compresi, quindi, gli studi retrospettivi sottoposti a parere del Comitato Etico).

———–

Impossibilità di ripetere, sotto il nuovo codice privacy, l’esperienza positiva del 2012

Relativamente ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentino rischi elevati ai sensi dell’art. 35 GDPR, l’art. 2 quinquiesdecies del “nuovo codice privacy” stabiliva che il Garante, sulla base dell’art. 36.5 del GDPR e con provvedimenti di carattere generale, potesse prescrivere misure e accorgimenti a garanzia dell’interessato che il Titolare del trattamento è tenuto ad adottare. La relazione illustrativa del d.lgs. 101/2018 sull’articolo 2 quinquiesdecies precisava che tale norma attuava quanto previsto dal GDPR in relazione alla possibilità per gli Stati membri di prescrivere che i Titolari del trattamento consultino l’autorità di controllo e ne ottengano l’autorizzazione preliminare in relazione ai trattamenti di dati connessi all’esecuzione di un compito di pubblico interesse. Tuttavia, il D.L. 139/2021 (“Decreto Capienze”) ha abolito l’art. 2 quinquiesdecies del “nuovo codice privacy”.

———-

La proposta di emendamento dell’art. 110 D.lgs. 196/2003 (codice privacy)

Art. 110 (Ricerca medica, biomedica ed epidemiologica)

Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale. e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106 comma 2 lettera d).

———–

Impatti della modifica legislativa proposta

La modifica non determinerebbe alcuna scopertura per quanto riguarda la protezione dei dati personali e il livello di accountability necessario. Resterebbe fermo l’obbligo per il Titolare di analizzare i rischi del trattamento in una valutazione d’impatto ai sensi dell’art. 35 del GDPR e di definire misure idonee a mitigarli.

Prima dell’adozione ad opera del Garante delle garanzie ai sensi dell’art. 106 del “nuovo codice privacy”, sarebbero applicabili le «misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato» definite dal Garante per il caso in cui «a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca». Le si trova fra le prescrizioni relative al trattamento di categorie particolari di dati, provvedimento pubblicato ai sensi dell’art. 21, comma 1 del “nuovo codice privacy” sulla Gazzetta Ufficiale n. 176 del 29 luglio 2019. A seguire, si riporta l’estratto rilevante.

«[…] quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, tra le quali in particolare:

i motivi etici riconducibili alla circostanza che l’interessato ignora la propria condizione. Rientrano in questa categoria le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi (possono rientrare in questa ipotesi, ad esempio, gli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il quale non esista un trattamento);
i motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo studio riguarda interessati con patologie ad elevata incidenza di mortalità o in fase terminale della malattia o in età avanzata e in gravi condizioni di salute).

Con riferimento a tali motivi di impossibilità organizzativa, le seguenti prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente) risultino essere al momento dell’arruolamento nello studio:

– deceduti o

– non contattabili.

Resta fermo l’obbligo di rendere l’informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, ciò sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo, anche al fine di consentire loro di esercitare i diritti previsti dal Regolamento;

motivi di salute riconducibili alla gravità dello stato clinico in cui versa l’interessato a causa del quale questi è impossibilitato a comprendere le indicazioni rese nell’informativa e a prestare validamente il consenso. In tali casi, lo studio deve essere volto al miglioramento dello stesso stato clinico in cui versa l’interessato. Inoltre, occorre comprovare che le finalità dello studio non possano essere conseguite mediante il trattamento di dati riferiti a persone in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso o con altre metodologie di ricerca. Ciò, avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché all’attendibilità dei risultati conseguibili in relazione alle specifiche finalità dello studio. Con riferimento a tali motivi, deve essere acquisito il consenso delle persone indicate nell´art. 82, comma 2, lett. a), del Codice come modificato dal d.lgs. n. 101/2018. Ciò, fermo restando che sia resa all’interessato l’informativa sul trattamento dei dati non appena le condizioni di salute glielo consentano, anche al fine dell’esercizio dei diritti previsti dal Regolamento».

Tags:

110, ambito medico biomedico epidemiologico, autorizzazioni, codice privacy, GDPR, privacy, protezione dati, regole deontologiche, ricerca scientifica, riforma, State of Privacy, studi osservazionali retrospettivi, Tavolo Salute

IIP NEWS

Open Webinar IIP – 110ectomia – La riforma delle regole privacy per la ricerca medica, biomedica ed epidemiologica in Italia

Incontro a Roma e Open Webinar IIP – Pay or Consent? È questo il dilemma

Open Webinar IIP – Tu vuò fà… il global DPO! Come gestire la data protection compliance su scala multinazionale

TWITTER