-
I nostri articoli per AboutPharmaI nostri articoli per AboutPharma
-
Il nostro Life Sciences BlogIl nostro Life Sciences Blog
Nell’ambito della conduzione di studi clinici un tema di particolare rilevanza per le aziende è relativo alle condizioni legali per l’utilizzo a fini di ricerca di dati personali già raccolti in precedenza, anche da soggetti terzi. Basti pensare alla conduzione di studi retrospettivi che per loro natura guardano a eventi passati ed utilizzano dati personali “di archivio”. Dati che con ogni probabilità sono stati raccolti per finalità diverse ed il cui utilizzo richiederebbe un nuovo consenso da parte degli interessati. Problemi analoghi si pongono anche con riferimento alla creazione di banche dati e in relazione a un successivo utilizzo delle informazioni personali nell’ambito di future attività di ricerca.
Contatti difficili
In questi casi non sempre è possibile contattare i soggetti a cui i dati personali si riferiscono, oppure, anche se astrattamente possibile, tale attività potrebbe rendersi in concreto particolarmente difficoltosa ed onerosa per le aziende. La normativa italiana è particolarmente restrittiva anche se paragonata a quella europea, e in mancanza del consenso esplicito da parte dei soggetti interessati richiede oneri procedurali non certamente snelli a carico delle aziende. D’altronde, il legislatore italiano ha deciso di avvalersi della facoltà prevista dallo stesso Regolamento (UE) 2016/679 (“GDPR”) di introdurre “ulteriori condizioni, comprese limitazioni” con riguardo al trattamento dei dati relativi alla salute (articolo 9, comma 4, GDPR), in seguito codificate all’interno del D.lgs. 196/2003 (“Codice Privacy”) agli articoli 110 e 110-bis.
Anche le decisioni del Garante italiano della Protezione dei Dati Personali (“Garante”) riflettono tale impostazione, sia nell’ambito dei provvedimenti di carattere generale rilasciati dallo stesso in relazione a determinate tipologie di trattamenti dei dati, sia nell’ambito di pareri rilasciati su specifica consultazione da parte delle aziende secondo quanto previsto dall’articolo 36 del GDPR.
Il contesto normativo di riferimento
A livello europeo il trattamento dei dati personali a scopo di ricerca, e in particolare di dati sensibili compresi i dati genetici, è regolato dall’articolo 9 del GDPR, ai sensi del quale il trattamento “necessario a fini di ricerca scientifica” è permesso purché sia proporzionato alle finalità perseguite e siano adottate garanzie adeguate per i diritti e le libertà dell’interessato ai sensi dell’articolo 89 del GDPR, quali misure tecniche come la pseudonimizzazione. In alternativa il trattamento è naturalmente possibile sulla base del consenso esplicito dell’interessato raccolto per una o più finalità specifiche.
È interessante notare come dall’impianto del GDPR non emerga una preferenza per l’una o per l’altra opzione. L’intento appare infatti quello di semplificare, ove possibile e con le dovute garanzie, l’utilizzo di dati personali sanitari nell’ambito della ricerca scientifica. Ma non solo. L’ulteriore trattamento dei dati personali raccolti, permesso a livello generale dal GDPR – anche in assenza di un nuovo consenso – nel caso in cui la finalità del secondo trattamento “non sia incompatibile” con quella del trattamento originario, nello specifico caso del trattamento di dati personali a scopi di ricerca scientifica è ulteriormente facilitato – atteso che l’assenza di incompatibilità si presume – ed il trattamento anche secondario è permesso pur in assenza di consenso e purché siano adottate le già menzionate garanzie di cui all’articolo 89 del GDPR (articolo 5, comma 1, lett. b), GDPR).
Cosa accade in Italia
A livello nazionale invece il legislatore ha deciso di profittare della possibilità riconosciuta dallo stesso GDPR di introdurre misure più restrittive, nei fatti andando in direzione opposta a quella che sembra essere la direzione tracciata a livello europeo, e con gli articoli 110 e 110-bis del Codice Privacy ha codificato un sistema che fonda il trattamento dei dati a fini di ricerca scientifica o sul consenso dell’interessato oppure – ove questo non sia possibile – su di una serie di oneri procedurali fra i quali spicca l’obbligo di preventiva consultazione con il garante già prevista dall’articolo 36 del GDPR (o addirittura una preventiva autorizzazione, con il meccanismo del silenzio-rigetto). In particolare, ai sensi dell’articolo 110 del Codice Privacy il trattamento dei dati a fini di ricerca scientifica è possibile in assenza del consenso dell’interessato, alternativamente qualora:
- Il trattamento è effettuato in base a disposizioni di legge, regolamento o in forza del GDPR (art. 9, par. 2, lett. j), ed è condotta e resa pubblica una valutazione di impatto (situazione che legittima trattamenti da parte di strutture pubbliche e private sulla base di specifiche norme di legge).
- risulti impossibile informare gli interessati o comunque eccessivamente oneroso o ancora rischi di pregiudicare le finalità della ricerca, purché (i) siano adottate misure appropriate a tutelare i diritti e le libertà degli interessati, (ii) il programma di ricerca sia oggetto di parere favorevole del competente comitato etico e (iii) il programma sia sottoposto a preventiva consultazione del Garante ai sensi dell’art. 36 del GDPR.
Similmente, il trattamento ulteriore dei dati può essere autorizzato dal Garante, anche mediante provvedimenti a carattere generale, quando sussistono le medesime ragioni di impossibilità o difficoltà oggettiva nel contattare gli interessati, o comunque ne possa essere pregiudicata l’attività di ricerca (art. 110-bis del Codice Privacy). Il provvedimento adottato dal Garante il 5 giugno 2019 “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” contiene, fra le altre, due sezioni dedicate rispettivamente al trattamento dei dati per finalità di ricerca scientifica ed anche al trattamento dei dati genetici.
Ad esempio, secondo quanto ivi stabilito dal Garante, i campioni biologici già prelevati e i dati genetici già raccolti per scopi di tutela della salute possono essere conservati e utilizzati ulteriormente, in assenza del consenso degli interessati (i) nell’ambito di ricerche scientifiche previste dal diritto dell’Unione europea o dalla legge; o (ii) limitatamente al perseguimento di ulteriori scopi scientifici direttamente collegati con quelli per i quali è stato raccolto il consenso originario.
Qualora invece l’utilizzo avvenisse nell’ambito di progetti di ricerca diversi da quelli originari ed al di fuori dei casi di legge – e non fosse possibile informare gli interessati – la conservazione e l’ulteriore utilizzo sono possibili qualora una ricerca di analoga finalità non possa essere realizzata mediante il trattamento di dati riferibili a persone delle quali può essere acquisito il consenso. Inoltre, il programma di ricerca deve comportare l’utilizzo di campioni biologici e dati genetici che non consentano, quantomeno dopo l’ulteriore trattamento, l’identificazione degli interessati. In alternativa, il programma deve essere oggetto del già citato parere motivato da parte del competente comitato etico ed in seguito sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento.
I recenti orientamenti del Garante
Fra i più recenti e significativi interventi del Garante italiano sul tema del trattamento anche ulteriore dei dati a scopo di ricerca troviamo il parere reso lo scorso 30 giugno dall’autorità proprio ai sensi dell’articolo 110 del Codice Privacy e art. 36 del GDPR, su istanza dell’Azienda Ospedaliera Universitaria Integrata di Verona. Tale parere non costituisce atto di portata generale bensì un parere rilasciato a fronte di uno specifico caso sottoposto al Garante; tuttavia, contiene indicazioni utili ad interpretare la normativa vigente ed a conformare i trattamenti alle seppur stringenti regole adottate dal legislatore italiano.
Il caso sottoposto al Garante si riferisce ad uno studio osservazionale, sia prospettico che retrospettivo, di tipo non farmacologico – già oggetto di valutazione di impatto ai sensi dell’art. 35 del GDPR e di parere favore del competente comitato etico – volto alla creazione di una banca dati per la conduzione di futuri studi nel settore delle patologie del distretto toracico. In particolare, oltre ad una prima e ben definita finalità relativa alla creazione della banca dati, lo studio prevedeva la realizzazione di nove futuri “ambiti di indagine”, progetti di ricerca allo stato non ancora definiti e privi di un protocollo di riferimento. I relativi trattamenti, anche quelli che sarebbero realizzati nell’ambito dei futuri studi di ricerca, venivano legittimati dall’istante sulla base del consenso raccolto nella fase iniziale dello studio – salvo ciò risultasse impossibile o eccessivamente difficoltoso – ritenendo l’Azienda ospedaliera che il trattamento futuro fosse in ogni caso compatibile con la finalità della prima raccolta (la costituzione della banca dati) e dunque lecito in presenza della sola e successiva approvazione del protocollo da parte del competente comitato etico.
Con specifico riferimento alla raccolta retrospettiva dei dati, l’istante rappresentava che la quasi totalità dei pazienti (90%) era deceduta o comunque risultava essere irreperibile, con conseguente impossibilità di informativa individuale e raccolta del relativo consenso al trattamento dei dati. Su questo punto il Garante ha rilasciato parere favore ai sensi dell’articolo 110 del Codice Privacy ai fini della costituzione della banca dati, ritenendo idonee le specifiche misure adottate dall’istante e volte a ridurre i rischi per gli interessati – in particolare le tecniche di anonimizzazione trascorso il periodo di conservazione dei dati – e le forme di pubblicità del trattamento ai sensi dell’art. 14, par. 5, lett. B) del GDPR mediante apposita pagina informativa pubblicata sul sito web dell’Azienda Ospedaliera.
Con riferimento invece all’utilizzo dei dati raccolti nell’ambito dei futuri studi di ricerca, ancora privi di un protocollo, il Garante ha in primo luogo escluso la compatibilità di tale finalità con quelle originarie di raccolta dei dati. Inoltre, ha precisato che sebbene il GDPR, Considerando n. 33, riconosca che “in molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati” e che dunque “gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista”, ciò non permette in ogni caso di derogare ai ben noti principi di specificità e granularità del consenso. Ne consegue che l’Azienda Ospedaliera deve essere chiamata ad integrare le manifestazioni di consenso già raccolte dagli interessati una volta che i protocolli dei futuri studi saranno stati approvati e dunque le finalità del trattamento ulteriore risulteranno specifiche e ben definite, per giungere “in via progressiva ad ottenere un presupposto giuridico idoneo al trattamento dei dati per scopo di ricerca”. Qualora l’Azienda si trovasse in una delle situazioni di cui all’articolo 110 del Codice Privacy e dunque impossibilitata ad “integrare” il consenso prestato dagli interessati, dovrà ancora una volta avanzare specifiche istanze di consultazione preventiva proprio ai sensi di tale articolo 110.
Uno sguardo al futuro
La previa, positiva, consultazione del Garante ai sensi dell’articolo 110 rappresenta senza dubbio una strada percorribile dalle aziende, sebbene preveda oneri non di poco conto ai fini della conduzione di attività di ricerca, considerata anche la frequenza con la quale tali situazioni di impossibilità o difficoltà nella raccolta del consenso possono in concreto presentarsi. Questo processo non va di certo nella direzione, auspicabile, di una maggiore incentivazione delle attività di ricerca clinica, e peraltro appare in contrasto con lo stesso spirito del GDPR che come detto non esprime una preferenza per la regola del consenso nel trattamento dei dati a scopo di ricerca, e men che meno intende, in sua assenza, subordinare il trattamento a quella che può essere considerata a tutti gli effetti una preventiva autorizzazione da parte dell’autorità nazionale di protezione dei dati.
Peraltro, le medesime considerazioni sembrano essere state espresse anche dal Centro di Coordinamento Nazionale dei Comitati Etici in un recente documento del 26 luglio 2022 pubblicato sul sito web di Aifa e dedicato proprio agli studi osservazionali, nel senso di un superamento della regola del consenso e di una semplificazione degli attuali adempimenti nel trattamento dei dati nel contesto della ricerca, “rimuovendo o limitando il più possibile gli ostacoli formali che un’interpretazione interventistica e monouso tutt’ora frappone all’utilizzo e al riutilizzo dei dati di ricerca”, anche attraverso l’eventuale impiego del legittimo interesse quale base giuridica per il trattamento, accompagnato naturalmente dall’adozione di adeguate misure di sicurezza per la tutela degli interessati.
Ciò nonostante, ad oggi, l’approccio italiano al trattamento ed all’uso secondario dei dati personali a scopo di ricerca appare ancora lontano da queste condivisibili posizioni.