GDPR e Clinical Trials Regulation: Q&A della Commissione Europea
Nel precedente articolo di questo blog intitolato “GDPR e clinical trials regulation: interazioni indesiderate” si era parlato dei pareri espressi dal Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB) a proposito dell’interazione tra il Regolamento generale sulla protezione dei dati 2016/679 (GDPR), entrato in vigore il 25 maggio 2018, e il Regolamento 536/2014 sulle sperimentazioni cliniche (CTR), la cui entrata in vigore è attualmente prevista per il 2020.
Successivamente a tale parere, in data 10 aprile 2019 la Commissione europea ha pubblicato un documento di domande e risposte (Q&A) sullo stesso tema.
Il Q&A fornisce anch’esso chiarimenti in settori in cui l’interazione tra le due serie di norme, che si applicano contemporaneamente, è complicata. Esso ricorda che, ai sensi del GDPR, spetterà ai responsabili del trattamento dimostrare che i dati personali sono trattati in conformità al regolamento.
Il rispetto di tale obbligo implica il rispetto dei principi di protezione dei dati, la fornitura di informazioni adeguate ai partecipanti alla sperimentazione clinica, la nomina di un responsabile della protezione dei dati (se richiesto), la tenuta di registri delle attività di trattamento e l’agevolazione dell’esercizio dei diritti individuali, oltre al rispetto di altri requisiti.
Il responsabile del trattamento deve anche determinare la base giuridica per le varie attività di trattamento. In questo compito risiede un malinteso comune che il Q&A cerca di correggere: il consenso informato richiesto ai sensi del CTR serve come standard etico e obbligo procedurale, e questo non deve essere confuso con il consenso come base legale per il trattamento dei dati personali ai sensi del GDPR.
Per quanto riguarda la base giuridica ai sensi del GDPR, il Q&A spiega che le varie operazioni di trattamento che comportano l’uso di dati relativi a sperimentazioni cliniche, che comprendono sia operazioni relative alla ricerca sia operazioni necessarie per la tutela della salute, possono basarsi su una base giuridica diversa. La richiesta del consenso dei partecipanti (oltre a quello richiesto dal CTR) può essere un’opzione, ma il documento Q&A offre anche opzioni alternative, a seconda della situazione. Spetterà al controllore valutare e attuare la base giuridica più adeguata. A questo proposito, se i dati degli studi clinici vengono utilizzati per ulteriori ricerche al di fuori dell’ambito del protocollo (uso secondario), può essere necessaria un’altra base legale.
Il documento Q&A valuta anche l’impatto dell’entrata in applicazione del GDPR sulle sperimentazioni cliniche in corso che sono disciplinate dalla Direttiva sulle sperimentazioni cliniche 2001/20/CE. In particolare, la Commissione Europea indica che potrebbe essere necessario fornire informazioni aggiuntive ai partecipanti alla sperimentazione clinica. In linea di principio, la base giuridica che era valida ai sensi delle norme nazionali di protezione dei dati che attuano la direttiva 2001/20/CE prima dell’entrata in vigore del GDPR rimane applicabile. Tuttavia, se il trattamento dei dati dei partecipanti alla sperimentazione clinica si basa sul consenso del partecipante, occorre valutare se tale consenso soddisfa i requisiti più rigorosi del GDPR. In caso contrario, potrebbe essere necessario un rinnovo del consenso.
Di seguito si riporta la traduzione in italiano del Q&A pubblicato dalla Direzione Generale Salute e Sicurezza Alimentare della Commissione Europea.
COMMISSIONE EUROPEA
DIREZIONE GENERALE PER LA SALUTE E LA SICUREZZA ALIMENTARE
Sistemi e prodotti sanitari
Prodotti medicali – qualità, sicurezza e innovazione
Domande e risposte sull’interazione tra il regolamento sulle sperimentazioni cliniche e il regolamento generale sulla protezione dei dati
Il presente documento intende spiegare l’interazione tra il regolamento (UE) n. 536/2014 sulle sperimentazioni cliniche e il regolamento generale (UE) n. 2016/679 sulla protezione dei dati personali, di seguito denominato GDPR.
Sarà rilevante solo quando il regolamento sulle sperimentazioni cliniche diventerà applicabile, ad eccezione della domanda 11 che spiega la situazione attuale ai sensi della Direttiva sulle sperimentazioni cliniche.
Il presente documento è fornito dai servizi della Commissione a titolo puramente informativo. Non contiene alcuna interpretazione autorevole del diritto dell’UE, in particolare degli atti dell’UE in esso menzionati, e non costituisce una decisione o una posizione della Commissione. Ciò non pregiudica la decisione o la posizione della Commissione e le competenze della Corte di giustizia dell’UE per quanto riguarda l’interpretazione del diritto dell’UE conformemente ai trattati UE.
Né la Commissione europea né qualsiasi persona che agisca per conto della Commissione europea è responsabile dell’uso che potrebbe essere fatto delle informazioni contenute nel presente documento.
Questa linea guida riflette lo stato di avanzamento dei lavori dopo la consultazione del Comitato europeo per la protezione dei dati.
Si noti che sono le autorità di protezione dei dati (DPA) degli Stati membri ad essere competenti per il controllo e l’applicazione dell’applicazione del GDPR. Sono gli interlocutori naturali e il primo punto di contatto per il pubblico, le imprese e le amministrazioni pubbliche per le domande relative al PILR. Il ruolo delle autorità di protezione dei dati comprende l’informazione dei responsabili del trattamento e degli incaricati del trattamento sui loro obblighi e la sensibilizzazione e la comprensione del pubblico in generale dei rischi, delle regole, delle garanzie e dei diritti in relazione al trattamento dei dati.
In generale, il principale punto di contatto per le domande sulla protezione dei dati è la protezione dei dati nello Stato membro dell’UE in cui ha sede l’impresa/organizzazione. Tuttavia, se l’azienda/organizzazione tratta dati personali in diversi Stati membri dell’UE o fa parte di un gruppo di aziende con sede in diversi Stati membri dell’UE, il principale punto di contatto può essere un’autorità di protezione dei dati in un altro Stato membro dell’UE. In caso di trattamento transfrontaliero di dati personali: cfr. le linee guida del gruppo di lavoro dell’articolo 29 per l’identificazione dei documenti principali del responsabile del trattamento o dell’incaricato del trattamento sul regolamento generale sulla protezione dei dati (UE) 2016/679.
Q1. Quali sono gli obblighi generali del regolamento sulle sperimentazioni cliniche in materia di dati personali?
Lo scopo di una sperimentazione clinica è quello di raccogliere dati affidabili e solidi su un medicinale in fase di sperimentazione. Questo principio fondamentale è confermato dall’articolo 3, lettera b), del regolamento sulla sperimentazione clinica (CTR).
Da questo principio fondamentale deriva l’obbligo per lo sponsor/investigatore di seguire il protocollo approvato e i principi di buona pratica clinica (articolo 47 del CTR).
Inoltre, il CTR rafforza alcune misure che richiedono allo sponsor/investigatore di registrare, elaborare, archiviare e gestire i dati in modo che possano essere accuratamente riportati, interpretati e verificati, preservando la riservatezza delle registrazioni e richiedendo misure tecniche e organizzative appropriate per proteggere le informazioni e i dati personali (articolo 56 del CTR).
Inoltre, lo sponsor è legalmente obbligato dal CTR a svolgere una serie di attività (comprese quelle descritte nel capitolo VIII del CTR):
– comunicare i risultati di tale sperimentazione (articolo 37, paragrafi 4 e 8, del CTR);
– eseguire le relazioni sulla sicurezza (articoli 41-43 del CTR);
– archiviare il master file delle sperimentazioni cliniche per 25 anni e le cartelle cliniche dei soggetti per il periodo di tempo prescritto dalla legislazione nazionale (articolo 58 del CTR) [Per quanto riguarda i dati di una sperimentazione clinica che saranno utilizzati a sostegno della domanda di autorizzazione all’immissione in commercio, il periodo di conservazione ai sensi del CTR ha la precedenza sugli obblighi di cui all’allegato I della direttiva 2001/83/CE. Pertanto, il rispetto dei requisiti dell’articolo 58 del CTR è richiesto anche quando si utilizzano i dati della sperimentazione clinica a sostegno delle domande di autorizzazione all’immissione in commercio per quanto riguarda i periodi di conservazione dei dati].
Lo sponsor è soggetto alle ispezioni degli Stati membri (articolo 78 del CTR) nel cui contesto gli ispettori della GCP degli Stati membri hanno il diritto di accedere ai dati della sperimentazione clinica (articolo 24 della direttiva 2005/28/CE e articolo 10, paragrafo 2, del regolamento di esecuzione (UE) 2017/556 della Commissione) e in quest’ultimo regolamento, anche alle cartelle cliniche dei singoli pazienti.
Il protocollo di sperimentazione clinica, autorizzato ai sensi della CTR, definisce gli scopi e le condizioni per le quali i dati dei soggetti della sperimentazione clinica saranno trattati. Gli interessati devono essere adeguatamente informati sul trattamento dei loro dati personali (cfr. Q5).
Inoltre, va notato che l’articolo 93 del CTR prevede che “gli Stati membri applicano la direttiva 95/46/CE [ora abrogata dal GDPR] al trattamento dei dati personali effettuato negli Stati membri ai sensi del presente regolamento” e che “il regolamento (CE) n. 45/2001 [abrogato dal regolamento 2018/1725] si applica al trattamento dei dati personali effettuato dalla Commissione e dall’Agenzia ai sensi del presente regolamento”.
Anche il GDPR fa espresso riferimento alla legislazione applicabile agli studi clinici. Ne consegue che entrambe le legislazioni si applicano contemporaneamente…
Q2. Chi è responsabile della determinazione della corretta base giuridica per il trattamento dei dati personali nell’ambito della sperimentazione clinica?
Secondo il principio di responsabilità, è obbligo del responsabile del trattamento dei dati (sponsor/clinica- istituzione dello sperimentatore) attuare le misure tecniche e organizzative adeguate a garantire e poter dimostrare che i dati personali sono trattati in conformità alle norme sulla protezione dei dati (articolo 24 del GDPR). Il responsabile del trattamento deve garantire la conformità delle operazioni di trattamento effettuate nel contesto di una sperimentazione clinica con tutte le norme di protezione dei dati contenute nel GDPR (tra cui garantire il rispetto dei principi di protezione dei dati, fornire informazioni sul trattamento agli interessati, nominare un responsabile della protezione dei dati, se richiesto, tenere registri delle attività di trattamento, facilitare l’esercizio dei diritti delle persone, ecc.) Da quanto sopra, il responsabile del trattamento (sponsor/clinico-istituzione dello sperimentatore) è responsabile di determinare la base giuridica per il trattamento dei dati personali.
In caso di domande si prega di consultare le autorità di protezione dei dati (DPA) stabilite negli Stati membri. Per quanto riguarda il trattamento transfrontaliero da parte di un responsabile del trattamento dei dati, un’autorità di protezione dei dati capofila coordinerà la cooperazione di tutte le autorità di protezione dei dati interessate al fine di garantire la coerenza (articolo 56 del GDPR).
Per quanto riguarda gli investigatori multipli, le autorità di protezione dei dati dovranno collaborare.
Q3. Qual è la base giuridica per il trattamento dei dati personali dei soggetti della sperimentazione clinica nell’ambito delle sperimentazioni cliniche (uso primario) effettuate in conformità al regolamento sulla sperimentazione clinica?
Tutte le operazioni di trattamento relative ad uno specifico protocollo di sperimentazione clinica durante il suo intero ciclo di vita, dall’inizio della sperimentazione alla cancellazione alla fine del periodo di archiviazione, compresi i dati nell’autorizzazione all’immissione in commercio, sono da intendersi come uso primario dei dati della sperimentazione clinica. Non tutte le operazioni di trattamento relative a tale “uso primario” dei dati degli studi clinici perseguono gli stessi scopi e rientrano nella stessa base legale.
L’obiettivo generale del CTR è quello di realizzare un mercato interno armonizzato per quanto riguarda le sperimentazioni cliniche e i medicinali per uso umano, prendendo come punto di partenza un elevato livello di protezione della salute, stabilendo al contempo elevati standard di qualità e sicurezza per i medicinali, garantendo che i dati generati nelle sperimentazioni cliniche siano affidabili e solidi.
L’obiettivo generale del GDPR è la tutela dei diritti e delle libertà fondamentali delle persone fisiche e in particolare del loro diritto alla protezione dei dati personali. Per motivi di trasparenza, la protezione dei dati personali dovrebbe essere al centro della decisione dei responsabili del trattamento.
In particolare, le operazioni di trattamento puramente connesse alle attività di ricerca devono essere distinte dalle operazioni di trattamento connesse alle finalità di tutela della salute, fissando al contempo standard di qualità e sicurezza dei medicinali attraverso la generazione di dati affidabili e solidi (finalità di affidabilità e sicurezza); queste due principali categorie di attività di trattamento rientrano in basi giuridiche diverse.
-
Operazioni di trattamento relative all’affidabilità e alla sicurezza
Le operazioni di trattamento necessarie per l’adempimento di un obbligo legale cui è soggetto il responsabile del trattamento possono essere giustificate ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR. Gli obblighi legali a cui lo sponsor e/o lo sperimentatore sono soggetti possono essere espressamente previsti dal CTR e dalle pertinenti disposizioni dell’Unione e nazionali.
Ciò vale in particolare, ad esempio, per gli obblighi relativi all’esecuzione delle relazioni sulla sicurezza ai sensi degli articoli da 41 a 43 del CTR, e per gli obblighi relativi all’archiviazione del fascicolo permanente della sperimentazione clinica (25 anni ai sensi dell’articolo 58 del CTR) e dei fascicoli medici dei soggetti (che devono essere determinati dal diritto nazionale secondo la stessa disposizione). Lo stesso vale per l’eventuale divulgazione dei dati della sperimentazione clinica alle autorità nazionali competenti nel corso di un’ispezione in conformità alle norme nazionali pertinenti (cfr. articolo 78 RDC).
La corrispondente adeguata condizione per il trattamento legittimo di particolari categorie di dati nell’ambito di tali obblighi è l’articolo 9, paragrafo 2, lettera i): “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, come […] garantire elevati standard di qualità e sicurezza dell’assistenza sanitaria e dei medicinali o dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri, che prevede misure adeguate e specifiche per salvaguardare i diritti e le libertà della persona interessata, in particolare il segreto professionale”.
-
Operazioni di trattamento puramente connesse alle attività di ricerca
[l’articolo 29 delle linee guida del gruppo di lavoro sull’autorizzazione ai sensi del regolamento 2016/679 del 10 aprile 2018, pag. 27, stabilisce che la nozione di ricerca scientifica non può essere estesa al di là del suo significato comune e comprende che per “ricerca scientifica” in questo contesto si intende un progetto di ricerca istituito secondo le norme metodologiche ed etiche settoriali pertinenti, in conformità con le buone prassi]
Le operazioni di trattamento puramente legate alle attività di ricerca nell’ambito di uno studio clinico non possono tuttavia derivare da un obbligo di legge. Secondo l’European Data Protection Board (EDPB), il trattamento dei dati personali è lecito e rientra in una delle tre basi giuridiche, a seconda delle circostanze generali legate a uno specifico studio clinico:
– una missione di interesse pubblico ai sensi dell’articolo 6, paragrafo 1, lettera e), in combinato disposto con l’articolo 9, paragrafo 2, lettere i) o j), del GDPR; oppure
– i legittimi interessi del responsabile del trattamento ai sensi dell’articolo 6, paragrafo 1, lettera f), in combinato disposto con l’articolo 9, paragrafo 2, lettera j), del GDPR; oppure
– in circostanze specifiche, quando tutte le condizioni sono soddisfatte, il consenso esplicito dell’interessato ai sensi dell’articolo 6, paragrafo 1, lettera a), e dell’articolo 9, paragrafo 2, lettera a), del GDPR.
2.1 Interesse pubblico
L’articolo 6, paragrafo 1, lettera e) consente il trattamento dei dati personali quando tale trattamento è necessario per l’esecuzione di un compito di interesse pubblico, sulla base di una normativa comunitaria o nazionale. Il Regolamento sulle sperimentazioni cliniche definisce per legge alcune attività di trattamento, che sono necessarie per l’esecuzione di un compito di interesse pubblico per le finalità delineate nel protocollo di sperimentazione clinica approvato, in questo caso per perseguire l’interesse pubblico generale dell’Unione a tutelare la salute pubblica. Pertanto, in questi casi il diritto dell’UE fornisce la base giuridica per il trattamento dei dati personali raccolti nell’ambito degli studi clinici. Il trattamento dei dati personali nell’ambito di sperimentazioni cliniche può quindi essere considerato necessario per l’esecuzione di un compito di interesse pubblico quando la conduzione di sperimentazioni cliniche rientra direttamente nel mandato, nelle missioni e nei compiti affidati a un organismo pubblico o privato dal diritto dell’Unione o nazionale.
La base giuridica individuata ai sensi dell’articolo 6 è integrata con la condizione per il trattamento di categorie speciali di dati ai sensi dell’articolo 9 del GDPR. A seconda delle circostanze specifiche di una sperimentazione clinica e della base giuridica utilizzata come sopra descritto, la condizione appropriata di cui all’articolo 9 per tutte le operazioni di trattamento di dati sensibili a fini puramente di ricerca potrebbe essere “motivi di interesse pubblico nel settore della sanità pubblica […] sulla base del diritto dell’Unione o degli Stati membri” (articolo 9, paragrafo 2, lettera i)), o “finalità scientifiche … ai sensi dell’articolo 89, paragrafo 1, basate sul diritto dell’Unione o degli Stati membri” (articolo 9, paragrafo 2, lettera j)).
2.2 Interesse legittimo
Per altre situazioni in cui la conduzione di sperimentazioni cliniche non può essere considerata necessaria per l’esecuzione dei compiti di pubblico interesse attribuiti per legge al responsabile del trattamento, il trattamento dei dati personali potrebbe essere “necessario ai fini dei legittimi interessi perseguiti dal responsabile del trattamento o da terzi, salvo che tali interessi non siano prevalsi sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato” ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR.
2.3 Consenso
Ai sensi del GDPR, il consenso deve essere libero, specifico, informato, non ambiguo e, qualora il consenso sia utilizzato come giustificazione per il trattamento di particolari categorie di dati, come i dati sanitari, deve essere esplicito (articolo 9, paragrafo 2, lettera a), GDPR). I titolari del trattamento devono prestare particolare attenzione alla condizione del consenso “liberamente espresso”. Come indicato nelle Linee guida del Gruppo di lavoro 29 sul consenso, questo elemento implica una reale scelta e controllo per gli interessati. Inoltre, il consenso non dovrebbe fornire un valido motivo giuridico per il trattamento dei dati personali in un caso specifico in cui vi sia un evidente squilibrio tra l’interessato e il responsabile del trattamento.
A seconda delle circostanze dello studio clinico, possono verificarsi situazioni di squilibrio di potere tra lo sponsor/investigatore e i partecipanti. Il CTR affronta espressamente questi rischi e richiede all’investigatore di tenere conto di tutte le circostanze rilevanti, in particolare se il potenziale soggetto appartiene a un gruppo economicamente o socialmente svantaggiato, o si trova in una situazione di dipendenza istituzionale o gerarchica che potrebbe influenzare in modo inappropriato la sua decisione di partecipare.
Come spiegato nelle Linee guida sul consenso del Gruppo di lavoro 29, il consenso non sarà la base giuridica appropriata nella maggior parte dei casi, e si dovrà fare affidamento su basi giuridiche diverse dal consenso (vedi sopra basi giuridiche alternative).
Q4. Qual è la differenza tra il consenso informato ai sensi del regolamento sulla sperimentazione clinica e il consenso ai sensi del GDPR?
Il requisito del consenso informato da parte del CTR non deve essere confuso con il consenso come motivo giuridico per il trattamento dei dati personali di cui all’articolo 6, paragrafo 1, lettera a), del GDPR.
Il regolamento sulle sperimentazioni cliniche contiene diverse disposizioni che specificano alcuni aspetti relativi alle modalità di trattamento dei dati personali. Il consenso informato richiesto da tale regolamento funge da standard etico e da obbligo procedurale. Il consenso informato ai sensi della CTR è la condizione fondamentale in base alla quale una persona può essere inclusa in uno studio clinico. Non è concepito come uno strumento per la conformità all’elaborazione dei dati.
Il consenso informato, nel contesto del CTR, è una garanzia e non una base legale per l’elaborazione dei dati. Pertanto, è importante distinguere tra il requisito del consenso per la partecipazione di un soggetto a una TAC e i requisiti per un trattamento legittimo dei dati personali ai sensi del GDPR (cfr. Q&A 3).
Q5. Come comprendere i requisiti della GDPR in merito alle informazioni che devono essere fornite ai soggetti che partecipano a uno studio clinico?
Ogni persona inclusa in una sperimentazione clinica deve ricevere le informazioni pertinenti relative alla sperimentazione clinica, come richiesto dal CTR, nonché le informazioni ai sensi dell’articolo 13 del GDPR, in particolare la base giuridica per l’elaborazione dei dati (cfr. domande e risposte 3).
Q6. Quali sono le conseguenze legali della revoca del consenso per la partecipazione alla sperimentazione clinica ai sensi del regolamento sulla sperimentazione clinica?
L’articolo 28, paragrafo 3, del CTR stabilisce che la revoca del consenso informato a partecipare a una sperimentazione clinica non pregiudica le attività già svolte e l’uso dei dati ottenuti sulla base del consenso informato prima di tale revoca.
Il consenso alla partecipazione a uno studio clinico deve essere distinto dal consenso al trattamento dei dati personali nell’ambito di tale studio clinico (vedi domande e risposte 4).
La revoca del consenso a partecipare ad uno studio clinico in base alla CTR non deve necessariamente influire sul trattamento dei dati personali raccolti nel contesto di tale studio. I dati personali possono continuare ad essere trattati se esiste una base giuridica adeguata per tale trattamento ai sensi del GDPR. In tali casi, i dati personali di tale persona raccolti prima del recesso saranno conservati per le finalità e alle condizioni definite dal protocollo e dalla normativa. Ad esempio, se si verifica un grave effetto collaterale negativo per il paziente, lo sponsor ha il diritto di trattare i dati comunicandoli alle autorità nazionali competenti (in base all’obbligo giuridico del responsabile del trattamento di cui all’articolo 6, paragrafo 1, lettera c), del GDPR in combinato disposto con l’articolo 9, paragrafo 2, lettera i).
Secondo il GDPR, se il consenso viene utilizzato come base legale per il trattamento (articolo 6, paragrafo 1, lettera a), deve esistere la possibilità per i singoli di ritirare tale consenso in qualsiasi momento (articolo 7, paragrafo 3), e non vi è alcuna eccezione a questo requisito per la ricerca scientifica previsto dall’articolo 7. Di norma, se il consenso al trattamento dei dati ai sensi del GDPR viene ritirato, tutte le operazioni di trattamento dei dati che erano basate sul consenso rimangono legittime ai sensi del GDPR (articolo 7, paragrafo 3); tuttavia, il responsabile del trattamento deve interrompere le operazioni di trattamento in questione e se non vi sono altri motivi legittimi che giustifichino la conservazione per un ulteriore trattamento, i dati devono essere cancellati dal responsabile del trattamento [cfr. articolo 17, paragrafo 1, lettera b) e paragrafo 3, GDPR]. Nei casi in cui i dati personali sono trattati sulla base del consenso ai sensi della GDPR, è opportuno che lo sperimentatore determini con il soggetto dello studio se il ritiro del consenso ai sensi della CTR riguarda esclusivamente la partecipazione alle attività dello studio o se anche lui ritira il consenso al trattamento dei suoi dati.
Tuttavia, la revoca del consenso ai sensi del CTR non pregiudica le operazioni di trattamento che si basano su altri motivi legittimi, in particolare gli obblighi legali a cui lo sponsor/investigatore è soggetto, come quelli relativi alla sicurezza.
Q7. Qual è il significato dell’articolo 28, paragrafo 2, del CTR e quali sono le implicazioni per l’uso di dati personali al di fuori del protocollo della sperimentazione clinica (uso secondario) nell’ambito del GDPR?
Il CTR fa esplicito riferimento alla situazione in cui il consenso può essere richiesto al soggetto della sperimentazione clinica per l’utilizzo dei dati personali che lo riguardano al di fuori di tale protocollo di sperimentazione clinica per futuri scopi scientifici (articolo 28, paragrafo 2, del CTR).
L’utilizzo secondario di dati resi anonimi non rientra nel campo di applicazione del GDPR. Per contro, in caso di trattamento di dati personali (anche con pseudonimi) al di fuori del protocollo TC, occorre considerare quanto segue:
Se uno sponsor/investigatore desidera utilizzare i dati personali raccolti per scopi diversi da quelli definiti dal protocollo di sperimentazione clinica (ad es. dati medici raccolti per condurre una sperimentazione clinica sul cancro al seno utilizzati per condurre uno studio volto a identificare nuovi biomarcatori, ma non previsti dal protocollo di sperimentazione clinica), è necessario un valido fondamento giuridico ai sensi dell’articolo 6 del GDPR (cfr. domanda 3 per la base giuridica). La base giuridica scelta può differire o meno dalla base giuridica dell’utilizzo primario.
Si deve tener conto dell’articolo 5, paragrafo 1, lettera b), del GDPR, che prevede una presunzione di compatibilità delle finalità, alle condizioni di cui all’articolo 89, paragrafo 1, del GDPR, quando si effettua un ulteriore trattamento a fini di ricerca scientifica. In ogni caso, anche quando la presunzione di compatibilità è ritenuta applicabile, la ricerca scientifica che fa uso dei dati al di fuori del protocollo della sperimentazione clinica deve essere condotta nel rispetto della base giuridica pertinente e di tutte le altre disposizioni applicabili in materia di protezione dei dati, come stabilito dall’articolo 28, paragrafo 2, CTR. Pertanto, il responsabile del trattamento non è esente dagli altri obblighi previsti dalla legge sulla protezione dei dati, ad esempio per quanto riguarda l’equità, la legalità, la necessità e la proporzionalità, nonché la qualità dei dati.
Qualora si richieda il consenso (articolo 6, paragrafo 1, lettera a), del GDPR) come base giuridica per il trattamento di dati personali ad uso secondario, occorre tenere conto delle seguenti considerazioni:
– Il GDPR richiede che i dati personali siano raccolti per finalità specifiche, esplicite e legittime e che non siano ulteriormente trattati in modo incompatibile con tali finalità. L’ulteriore trattamento a fini di ricerca scientifica non è considerato, ai sensi dell’articolo 89, paragrafo 1, incompatibile con le finalità iniziali (articolo 5, paragrafo 1, lettera b)).
– Ai sensi dell’articolo 4, paragrafo 11, del GDPR, per consenso dell’interessato si intende qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell’interessato con la quale quest’ultimo, con una dichiarazione o con una chiara azione affermativa, esprime il suo consenso al trattamento dei dati personali che lo riguardano.
– Ai sensi dell’articolo 7, paragrafo 3, del GDPR, un individuo ha il diritto di ritirare il proprio consenso in qualsiasi momento durante lo svolgimento della sperimentazione clinica. I soggetti interessati devono ricevere queste informazioni prima di dare il consenso a partecipare allo studio clinico.
– Per quanto riguarda il consenso al trattamento dei dati personali a fini di ricerca scientifica, è ulteriormente chiarito nel considerando 33 del GDPR: “Spesso non è possibile identificare completamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, gli interessati dovrebbero essere autorizzati a dare il loro consenso ad alcuni settori della ricerca scientifica se in linea con gli standard etici riconosciuti per la ricerca scientifica. Gli interessati devono avere la possibilità di dare il loro consenso solo ad alcuni settori di ricerca o a parti di progetti di ricerca nella misura consentita dallo scopo previsto”.
– Il considerando 33 conferisce una certa flessibilità al grado di specificazione del consenso e consente di descrivere lo scopo ad un livello più generale. Eppure deve essere interpretato in modo rigoroso e richiede un alto grado di controllo. Va osservato che gli obblighi relativi al requisito del consenso specifico sono ancora applicabili, nonostante la flessibilità del considerando 33. Ciò significa che, in linea di principio, i progetti di ricerca scientifica possono includere dati personali sulla base del consenso solo se hanno uno scopo ben definito.
– Pertanto, lo sponsor può o chiedere il consenso del soggetto per un uso secondario già all’inizio dello studio clinico (il primo uso). In questo caso è importante notare che questa forma di consenso deve essere rigorosamente distinta dal consenso informato nel contesto del CTR. Lo sponsor deve chiedere separatamente il consenso al trattamento dei dati nell’ambito di un uso secondario (utilizzando diverse schede di consenso) e deve indicare le specifiche finalità di ricerca di tale uso.
– D’altra parte, se l’obiettivo di utilizzare i dati per ulteriori ricerche al di fuori del protocollo della TC si pone dopo il completamento dello studio clinico, lo sponsor deve tornare dai soggetti interessati per ottenere il consenso specifico.
– In ogni caso lo sponsor/investigatore deve informare il soggetto ai sensi dell’articolo 13 del GDPR (ad esempio sulla base giuridica e sul diritto di revocare il consenso) (vedi Q&A5).
Q8. Trattamento dei dati personali nel contesto di sperimentazioni cliniche d’emergenza (articolo 35 del CTR)
Una volta soddisfatte le rigorose condizioni dell’articolo 35 del CTR, un soggetto può essere arruolato in una sperimentazione clinica in situazione di emergenza, eccezionalmente senza alcun consenso informato. A seguito di un intervento, il consenso informato deve essere richiesto al soggetto o al suo rappresentante legale il più presto possibile al fine di mantenere il soggetto nella sperimentazione clinica. Nel caso in cui un soggetto/rappresentante legale non confermi il suo consenso, la partecipazione del soggetto non può continuare.
Poiché il consenso informato preventivo del soggetto è solo una salvaguardia supplementare e non la base giuridica per il trattamento dal punto di vista della protezione dei dati, la base giuridica per il trattamento dei dati personali nel contesto di sperimentazioni cliniche di emergenza rimane l’interesse pubblico perseguito dall’articolo 6, paragrafo 1, lettera e), del GDPR o l’interesse legittimo perseguito dall’articolo 6, paragrafo 1, lettera f), del GDPR. Inoltre, il trattamento iniziale, necessario per fornire a una persona un trattamento e per registrarne gli esiti, in assenza del consenso ai sensi dell’articolo 28 del regolamento sulla sperimentazione clinica, può essere giustificato anche per un motivo di interesse vitale della persona interessata (articolo 35 del CTR in combinato disposto con l’articolo 6, paragrafo 1, lettera d) e l’articolo 9, paragrafo 2, lettera c), del GDPR).
Alla luce dell’articolo 35, paragrafo 3, del CTR nel caso in cui la partecipazione a un processo non sia confermata dal consenso informato ex post dato da tale persona o dal suo rappresentante legale, tale persona o rappresentante legale dovrebbe essere informata del diritto di opporsi all’uso dei dati raccolti inizialmente. Se la persona conferma la sua partecipazione a un processo, i dati possono essere ulteriormente elaborati ai fini di tale processo.
Se un interessato muore prima che il consenso possa essere confermato/rifiutato, il trattamento di tali dati non è più coperto dal GDPR e le condizioni di trattamento possono essere determinate dalla legislazione nazionale.
Q9. Uno sponsor stabilito in un paese terzo è soggetto alle norme UE sulla protezione dei dati?
Il GDPR si applica ai responsabili del trattamento e agli incaricati del trattamento stabiliti nell’UE, nonché ai responsabili del trattamento e agli incaricati del trattamento non stabiliti nell’UE, quando le attività di trattamento sono connesse all’offerta di beni o servizi agli interessati nell’UE o al monitoraggio del loro comportamento nell’UE (articolo 3 GDPR). Qualora lo sponsor tratti i dati personali dei soggetti interessati nell’UE in relazione a tali finalità, anche nel contesto della gestione della sperimentazione clinica, il GDPR è pienamente applicabile, compreso l’obbligo di designare un rappresentante nell’UE (articolo 27 GDPR).
Q10. Quali regole si applicano ai trasferimenti di dati al di fuori dell’UE?
Le entità nell’UE che trasferiscono dati personali a un’entità esterna all’UE (ad esempio, ai responsabili del trattamento, agli incaricati del trattamento o ad altri destinatari in paesi terzi o a organizzazioni internazionali) devono rispettare le norme sui trasferimenti internazionali (capo V del GDPR). Il GDPR non ha modificato le norme già esistenti ai sensi della direttiva 95/46 (e che sono in vigore da più di 20 anni), ma ha ampliato le possibilità di utilizzare gli strumenti di trasferimento esistenti e ha introdotto nuovi strumenti di trasferimento. Ciò consente agli enti dell’UE di adottare l’approccio più adatto alla loro specifica situazione. A seconda della situazione, i trasferimenti possono avvenire, ad esempio, sulla base di una decisione di adeguatezza (ossia quando la Commissione ha deciso che un paese terzo o un’organizzazione internazionale garantisce un livello di protezione adeguato), sulla base di un accordo o di un’intesa che contiene adeguate garanzie in materia di protezione dei dati (articolo 46 RDPC), o sulla base di una delle deroghe elencate all’articolo 49 RDPC (ad esempio, per importanti motivi di interesse pubblico).
Q11. Come deve procedere uno sponsor in caso di sperimentazioni cliniche autorizzate ai sensi della Direttiva sulle sperimentazioni cliniche?
Per le nuove domande di sperimentazione clinica che saranno presentate per l’autorizzazione ai sensi della direttiva sulla sperimentazione clinica fino all’entrata in vigore del regolamento sulla sperimentazione clinica, lo sponsor deve continuare a seguire le regole alla luce delle rispettive leggi nazionali che recepiscono la direttiva sulla sperimentazione clinica.
In caso di sperimentazioni cliniche autorizzate ai sensi del CTD già in corso, lo sponsor deve considerare i seguenti aspetti:
– La base giuridica:
La base giuridica per il trattamento dei dati personali in una sperimentazione clinica in corso, autorizzata sulla base della direttiva 2001/20/CE, non sarà influenzata dall’entrata in applicazione del GDPR, ad esempio se ai soggetti di una sperimentazione clinica è stato chiesto il consenso per il trattamento dei dati ai fini di tale sperimentazione clinica, questo non può essere modificato in un’altra base giuridica. Il consenso rimarrà la base legale per il trattamento di tali dati personali ai sensi del GDPR. Se la base giuridica era l’interesse pubblico, questa base giuridica rimane la stessa.
– Alla luce degli articoli 13 e 14 del GDPR, gli sponsor possono avere la necessità di fornire, se necessario, informazioni aggiuntive al soggetto interessato che partecipa alle sperimentazioni cliniche in corso:
A seconda delle informazioni inizialmente fornite ai partecipanti agli studi clinici, potrebbero essere necessarie alcune informazioni aggiuntive. I requisiti relativi alle informazioni da fornire all’interessato sono chiariti negli articoli 13 e 14 del GDPR. L’aggiornamento delle informazioni che devono essere fornite all’interessato può essere necessario, indipendentemente dalla base giuridica del trattamento dei dati. Le informazioni richieste dal GDPR dovrebbero essere fornite il più presto possibile.
– Nuovo consenso:
Il GDPR chiarisce il requisito del consenso all’articolo 4, paragrafo 11, e all’articolo 7, nonché ai considerando 32, 33, 42 e 43. Nel caso in cui il consenso sia stato scelto come base giuridica iniziale per il trattamento dei dati personali nel contesto dello studio clinico, il responsabile del trattamento deve valutare se il consenso iniziale soddisfa i requisiti del GDPR. In caso contrario, può essere richiesta una nuova autorizzazione.
Il responsabile del trattamento dei dati deve valutare se tali azioni sono necessarie per quanto riguarda le persone i cui dati sono ancora in fase di trattamento nel contesto di tale sperimentazione (è irrilevante se la persona riceve ancora il medicinale in fase di sperimentazione o se è in fase di follow-up di una sperimentazione).