-
I nostri articoli per AboutPharmaI nostri articoli per AboutPharma
-
Il nostro Life Sciences BlogIl nostro Life Sciences Blog
In un nostro precedente contributo su questa Rubrica abbiamo già commentato la bozza di linee guida sulla trasparenza delle informazioni caricate sul Clinical Trial Information System (CTIS), pubblicate da EMA il 7 aprile 2022 allo specifico fine di dare indicazioni operative sulla gestione delle informazioni commercialmente riservate (CCI) e dei dati personali (Guidance document on how to approach the protection of personal data and commercially confidential information in documents uploaded and published in the Clinical Trial Information System – “Guidance”).
In quell’occasione ci siamo focalizzati sulla protezione delle CCI: in questa sede ci soffermiamo invece sul tema della protezione dei dati personali. La Guidance affronta, infatti, la questione della protezione dei dati personali nell’ambito delle sperimentazioni cliniche e del CTIS che è stato istituito dall’EMA con il Regolamento sulle sperimentazioni cliniche (CTR) come unico punto di ingresso per la trasmissione dei dati e documenti relativi alle sperimentazioni cliniche e per la creazione di un Database europeo contenente i dati e i documenti presentati tramite il CTIS. Come si è già avuto modo di sottolineare, il Database dovrebbe contenere tutte le informazioni pertinenti (dalla domanda di autorizzazione ai risultati) relative alle sperimentazioni cliniche presentate attraverso il CTIS, garantendo così la trasparenza delle informazioni sulle sperimentazioni cliniche in Europa.
Trasparenza nelle sperimentazioni cliniche: come proteggere i dati personali
In primo luogo, la Guidance chiarisce che, a seconda del tipo di documento caricato, può occorrere o meno fornire sia una versione “per la pubblicazione” che una “non per la pubblicazione”. Nei documenti per la pubblicazione non saranno contenuti dati personali, ma solo dati anonimi (salve alcune eccezioni, in particolari i dati personali degli sperimentatori e quelli dello staff dello sponsor coinvolto); i documenti non per la pubblicazione potranno contenere dati personali, ma, in applicazione del principio di minimizzazione, si dovrà trattare di dati pseudonimizzati.
La Guidance esamina in dettaglio i principi della anonimizzazione per i dati personali dei pazienti rifacendosi in larga parte al GDPR e alla Opinion dell’Article 29 Working Party (oggi sostituito dall’European Data Protection Board) sulle tecniche di anonimizzazione[1]. In particolare, si chiarisce che affinché i dati siano considerati anonimi, è necessario considerare tutti i mezzi ragionevolmente utilizzabili dal titolare o da qualsiasi altro soggetto per identificare la persona in maniera diretta o indiretta. Nella valutazione della ragionevolezza dei mezzi, si deve tenere conto di fattori obiettivi, quali i costi e il tempo necessario per l’identificazione, le tecnologie disponibili al momento del trattamento e gli sviluppi tecnologici.
Inoltre, si dovrebbe considerare: la probabilità di un tentativo di identificazione, la probabilità che tale tentativo abbia successo, le tecniche di anonimizzazione utilizzate, la qualità dei dati una volta che siano stati anonimizzati, soprattutto se lo scopo prefissato sia raggiungibile nonostante l’anonimizzazione.
Pazienti e altri soggetti
La Guidance distingue poi tra i dati personali dei pazienti che partecipano alla sperimentazione e quelli di soggetti diversi dai pazienti, come ad esempio lo staff dello sponsor, della società che fa richiesta di autorizzazione del farmaco oppure i dati personali degli sperimentatori. È evidente che l’esigenza di tutela è diversa rispetto a tali due categorie di dati personali: nel primo caso si tratterà di dati comuni e sanitari di pazienti (per i quali è necessaria una tutela maggiore, perché i trattamenti presentano rischi più elevati), mentre nel secondo caso, si tratta di dati comuni di soggetti che non partecipano alla sperimentazione in qualità di pazienti e pertanto la Guidance giustamente distingue le misure di protezione in questi due casi.
I dati dei pazienti nelle sperimentazioni cliniche
Per quanto riguarda i dati dei pazienti, l’anonimizzazione deve tenere conto di alcuni fattori: ad esempio, l’anonimizzazione non deve essere effettuata all’interno del CTIS, ma deve avvenire al di fuori di esso; ne deriva che l’unico responsabile della anonimizzazione e della sua correttezza sarà il soggetto che utilizza del CTIS e che carica i documenti sul portale, il quale rimane estraneo a tale attività e dunque non assume alcuna responsabilità in relazione alla anonimizzazione.
Quanto sopra appare in linea anche con lo schema di contitolarità tra EMA, Commissione Europea, Stati Membri e società private che agiscono come sponsor o che sono titolari o hanno richiesto una autorizzazione all’immissione in commercio. Lo schema di contitolarità, infatti, regola i rapporti tra questi soggetti in relazione al trattamento di dati personali che avviene nell’ambito dell’utilizzazione del CTIS e della creazione del relativo database. Ciò che avviene prima dell’inserimento dei dati nel CTIS, non è soggetto a tale schema contrattuale e rientra nell’ambito delle attività di trattamento che vengono effettuate da ciascuno in qualità di autonomo titolare del trattamento. Tra queste attività si deve considerare inclusa anche l’anonimizzazione dei dati dei pazienti.
La Guidance prosegue poi elencando in dettaglio le varie tecniche di anonimizzazione utilizzabili.
Nei documenti non per la pubblicazione, i dati personali dei pazienti non dovranno essere anonimizzati, come abbiamo già rilevato, ma sarà sufficiente adottare tecniche di pseudonimizzazione: cioè tecniche che riducono il rischio per i pazienti coinvolti, in quanto la loro identificazione è possibile solo con l’uso di ulteriori informazioni (ad esempio sostituendo un attributo in un record, con un altro). Vale la pena ricordare che i dati pseudonimizzati sono in ogni caso dati personali, l’applicazione di tali tecniche non è una modalità di anonimizzazione del dato, ma un’utile misura di sicurezza.
Dati personali di soggetti diversi dai pazienti
Per quanto riguarda i dati personali di soggetti diversi dai pazienti, secondo la Guidance anche questi devono essere anonimizzati (ma solo nei documenti per la pubblicazione), ma con alcune eccezioni:
- I dati degli sperimentatori e dei legali rappresentanti dello sponsor oppure dell’istituto o ospedale;
- Il nominativo dello sponsor e l’identità degli sperimentatori che hanno condotto la sperimentazione.
La ratio di questa esclusione appare evidente: si tratta di dati che non possono non essere inseriti nel CTIS e che devono essere condivisi per esigenze di trasparenza.
Conclusioni
La Guidance costituisce un importante presupposto per l’implementazione del portale e del database delle sperimentazioni cliniche, con l’obiettivo di facilitare la trasparenza e la circolazione delle informazioni in questo settore. Si tratta di un passaggio fondamentale, che risulta coordinato con quanto previsto dalla normativa applicabile in materia di protezione dei dati personali. Essendo il documento in bozza, potrebbero intervenire modifiche e non si può escludere che l’EDPB possa prendere in futuro una posizione a commento delle previsioni contenute nella Guidance.
Al momento, la Guidance costituisce anche un utile documento che riassume e implementa le raccomandazioni già contenute nella Opinion dell’Article 29 Working Party 4/2015 sulle tecniche di anonimizzazione: può sicuramente essere uno strumento utile per una panoramica esaustiva e pratica delle varie tecniche e delle misure da adottare quando si rende necessario anonimizzare o pseudonimizzare dati personali nell’ambito della ricerca scientifica e medica.
[1] Article 29 Working Party Opinion 05/2014 https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf