Sperimentazioni cliniche e farmacovigilanza: il Codice di condotta spagnolo indica la strada per la gestione dei dati

Si ringrazia Mate Aleric per aver contribuito alla realizzazione di questo articolo

L’esigenza di maggiore chiarezza sul trattamento dei dati personali nella ricerca in campo sanitario è sentita tanto dalle istituzioni dell’Unione europea^[1] quanto dagli operatori del settore. A conferma della necessità di completare la disciplina normativa con strumenti di autoregolamentazione, l’Agenzia spagnola per la protezione dei dati (Aepd) ha recentemente approvato il “Codice di condotta per il trattamento dei dati personali nel campo della sperimentazione clinica e di altre ricerche cliniche e della farmacovigilanza” (il “Codice di Condotta”o “Codice”) promosso da Farmaindustria, l’associazione imprenditoriale nazionale dell’industria farmaceutica in Spagna  L’occasione offre uno spunto di riflessione sul quadro italiano in materia di protezione dei dati nell’ambito della ricerca clinica e della farmacovigilanza.

Il primo esempio in Europa

Il Codice di Condotta, il primo nel suo genere in Europa, è articolato in tre parti e occupa 153 pagine. Una prima parte dedicata alle disposizioni generali è seguita da un protocollo sulle sperimentazioni cliniche e su altre indagini cliniche, e da un protocollo sulla farmacovigilanza. L’implementazione di questi protocolli dovrebbe portare all’applicazione di criteri uniformi da parte dei soggetti aderenti, garantendo elevati standard di tutela agli interessati e ai consumatori. Peraltro, come noto, l’adesione a un codice di condotta comporta una serie di potenziali benefici ai sensi del Gdpr.^[2]

Chiarezza e standardizzazione sulla ricerca clinica

Come già detto, il Codice di Condotta risponde in maniera adeguata alla esigenza di chiarezza della quale il settore della ricerca clinica ha sicuramente bisogno. Oltre, infatti, ad affrontare alcuni temi di principio, il Codice fornisce anche soluzioni pratiche e concrete ad alcune questioni che – se pure teoricamente semplici – possono rivelarsi piuttosto spinose e complesse nella realtà. Ad esempio, sui ruoli e le responsabilità dei soggetti coinvolti nella ricerca clinica, il Codice prende una posizione piuttosto chiara: il promotore e il centro agiscono quali titolari del trattamento, ciascuno nell’ambito delle proprie attività, e non soggiacciono a un regime di responsabilità solidale. Ma il Codice non si limita a regolare questo aspetto attraverso una norma astratta: esso fornisce altresì uno standard di clausola di protezione dei dati per il contratto tra promotore e centro di sperimentazione.

Al Codice sono in realtà allegati una serie di standard, non solo clausole contrattuali per regolare i rapporti tra i vari soggetti coinvolti, ma anche un modello di registro dei trattamenti e un modello di risposta a una richiesta di esercizio dei diritti ricevuta dal promotore. La chiarezza e la pragmaticità dell’intervento sono sicuramente apprezzabili – soprattutto in un momento in cui a fronte di realtà e tecnologie sempre più complesse, molto spesso le linee guida fornite da autorità nazionali o organi europei contribuiscono ad accrescere i dubbi interpretativi piuttosto che a fugarli.

Il nodo del consenso

Sempre nello sforzo di chiarire e semplificare, il Codice di Condotta individua le basi giuridiche del trattamento nell’ambito della ricerca clinica, seguendo l’impostazione fornita dal parere dell’Edpb (il Comitato europeo per la protezione dei dati) ^[3] e abbandonando quindi con chiarezza il requisito del consenso quale base legittimante per tali trattamenti. Infatti, già l’Edpb aveva sottolineato l’inadeguatezza del consenso per due ordini di motivi: il primo, di carattere pratico-operativo, comprende la difficoltà (o persino l’impossibilità) e i costi della sua acquisizione, la sua successiva revocabilità e gli oneri di documentazione; il secondo ordine di motivi riguarda, invece, la validità giuridica del consenso prestato dai partecipanti a una ricerca in ambito medico, stante l’elevata incidenza di situazioni di condizionamento e di squilibrio di potere.

Parimenti, il Codice di Condotta prevede come base giuridica per il trattamento dei dati con finalità di sperimentazione clinica l’adempimento degli obblighi di legge, senza che sia necessario il consenso dell’interessato (articolo 6, lettera c) Gdpr) e per ragioni di pubblico interesse per assicurare l’elevata qualità e sicurezza dei prodotti e dei dispositivi medici (articolo 9, lettera i) Gdpr) nonché per lo svolgimento della ricerca scientifica in base alla legge nazionale ed europea (articolo 9, lettera j) Gdpr)^[4].

Trasferimenti all’estero

Anche in relazione ai trasferimenti all’estero – molto frequenti nell’ambito della ricerca medica – il Codice prende una posizione chiara: nel caso in cui sia completamente impossibile per il destinatario dei dati identificare nuovamente i partecipanti alla ricerca – perché resi precedentemente anonimi dal titolare che invia i dati stessi – le norme in materia di protezione dei dati personali non si applicano e non dovranno essere adottate garanzie per il trasferimento. Un principio che sicuramente deriva dalla corretta applicazione delle norme e che non costituisce una novità, ma che viene formalizzato in un provvedimento di una Autorità di protezione dei dati personali con grande chiarezza.

Il Codice di Condotta spagnolo e la farmacovigilanza

Anche per quanto riguarda la farmacovigilanza, un tema che, per quanto attiene ai profili di protezione dei dati personali, in Italia è stato trattato solo incidentalmente nelle Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali del 24 luglio 2008 e in pochi altri provvedimenti specifici, il Codice di Condotta contiene disposizioni precise e fa chiarezza su molti aspetti. Solo per citarne alcuni, con riferimento alla base giuridica del trattamento, il Codice individua l’adempimento con obblighi di legge (articolo 6, lettera c) Gdpr) e il pubblico interesse connesso al dovere di garantire elevati standard di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dispositivi medici (articolo 9, lettera i) Gdpr).

Il Codice si pone anche il problema di quale sia la base legittimante quando una reazione avversa viene segnalata non dall’interessato ma da un terzo (ad es. un care giver o un genitore, ecc) e soprattutto se sia necessario aspettare di fornire le informazioni prima di raccogliere i dati relativi alla reazione avversa. La risposta a questa domanda è, secondo il codice, negativa perché comunque i dati vengono raccolti per tutelare un interesse vitale del paziente che subisce l’effetto collaterale negativo: e anche se questa norma è riferita alle ipotesi in cui il paziente non può fornire il consento (più che all’ipotesi relativa a quando fornire le informazioni) ”un’interpretazione armonizzata e ragionevole dell’articolo ci permette di considerare che la raccolta dei dati dovrebbe essere effettuata immediatamente, senza aspettare che il paziente sia in grado di comprendere le informazioni da fornire, dato che la sua salute o addirittura la vita potrebbe essere in pericolo”.

Con riguardo alle modalità di raccolta dei dati, il Codice descrive in dettaglio e attraverso utilissime infografiche le modalità di raccolta attraverso i vari canali, inclusi i social network, scandendo con precisione i vari passaggi a partire dal messaggio (pubblico o privato) con cui viene fatta la segnalazione, fino alla condivisione del dato con le autorità.

Conclusioni

Il Codice di Condotta introdotto in Spagna segna un passo importante verso l’autoregolamentazione – che costituisce un elemento fondamentale nel disegno originario del Gdpr.  Esso costituisce inoltre un esempio di pragmatismo e ragionevolezza nell’applicazione della normativa privacy, che, lungi dal dovere essere considerata di applicazione assoluta, può e deve convivere con le esigenze del progresso scientifico e della tutela della salute pubblica, pur nel rispetto dei diritti e delle libertà fondamentali dei pazienti. L’adozione di uno strumento simile in Italia potrebbe avere l’importante effetto di rendere la disciplina in materia di ricerca medica maggiormente conforme ai binari tracciati dal Gdpr e dal Comitato europeo per la protezione dei dati. Questo permetterebbe di chiarire alcuni aspetti che ancora sono oscuri nell’ambito della ricerca sanitaria e di dettare una disciplina più articolata per la farmacovigilanza (da un punto di vista della protezione dei dati personali).  In attesa che anche l’Italia decida di dotarsi di un simile strumento, il Codice di Condotta può fornire interessanti spunti di riflessione e argomenti interpretativi anche per la ricerca medica italiana.

[1] Cfr. “Parere 3/2019 relativo alle domande e risposte sull’interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati”, adottato dal Comitato europeo per la protezione dei dati il 23 gennaio 2019; “Documento del Comitato europeo per la protezione dei dati sulla risposta alla domanda di chiarimenti della Commissione europea in merito all’applicazione coerente del GDPR, con un’attenzione particolare alla ricerca in campo sanitario”, adottato dal Comitato europeo per la protezione dei dati il 2 febbraio 2021. Entrambi i documenti sono stati adottati su richiesta della Commissione Europea ai sensi dell’art. 70(1)(b) del GDPR.

[2]Cfr. art. 24(3); art. 32(3); art. 35(8); e art. 83(2)(j) del GDPR.

[3] Cfr. Parere già citato alla nota1.

[4] Fatto salvo il consenso informato che deve dare per la partecipazione a una sperimentazione clinica.