0
Dati sensibili e privacy nella ricerca medica

Dati Sensibili e Privacy nella Ricerca Scientifica

Life ScienceNovembre 12, 2024

Nelle sue generalità la ricerca scientifica è stata da sempre fortemente influenzata dalla rapida evoluzione tecnologica; quest’ultima, in particolare, rivoluzionando le modalità di comunicazione, ha consentito l’utilizzo di strumenti sempre più sofisticati nelle attività umane.

A quest’effetto di tipo accrescitivo si sono poi associate tuttavia preoccupazioni di carattere etico per gli impatti imprevedibili seguenti alle intense interazioni tra le nuove tecnologie ed il tessuto sociale di riferimento.

Sennonché, soprattutto in Italia, questa complessità è resa ancora più evidente nella regolamentazione del trattamento dei dati personali nella ricerca medica, stante la particolare complessità e delicatezza della ricostruzione del sistema normativo, non soltanto per l’abnorme proliferazione del contesto legislativo, ma soprattutto per via della particolare natura connaturata all’attività di ricerca medica.

Essa, infatti, più di ogni altro tipo di attività, comporta la raccolta, l’utilizzo, il trasferimento, la condivisione e la conservazione di dati, richiedendo a promotori, centri di ricerca, ed università di garantire una gestione responsabile, nonché una circolazione trasparente e responsabile dei dati scientifici.

Dal punto di vista storico – ricostruttivo, la codificazione complessiva di questa gestione si è sviluppata in un percorso originatosi dalla Dichiarazione di Helsinki della World Medical Association del 1964 e che ha riconosciuto esplicitamente la prevalenza dei diritti e degli interessi dei singoli soggetti partecipanti alla ricerca sullo scopo della ricerca medica di generare nuove conoscenze prevaricanti i diritti e gli interessi dei singoli.

Questa scia è stata poi successivamente corroborata da ulteriori strumenti giuridicamente vincolanti, come la Convenzione 108 di Strasburgo per la protezione delle persone fisiche con riguardo al trattamento automatizzato dei dati personali del 1981, la Convenzione di Oviedo sui diritti umani e la biomedicina del 1997, la Carta dei diritti fondamentali dell’Unione Europea che prevede principi giuridici applicabili anche alla ricerca medica, e più di recente, il Regolamento (UE) 536/2014 sulla sperimentazione clinica di medicinali per uso umano nonché il Regolamento (UE) 679/2016 sulla protezione dei dati personali (General Data Protection Regulation – GDPR).

Proprio quest’ultimo provvedimento ha rappresentato una svolta normativa dirompente, avendo introdotto all’interno dell’ordinamento giuridico degli Stati Membri dell’UE principi innovativi ed elementi giuridici volti ad aumentare la trasparenza e la responsabilità del trattamento dei dati.

Trattandosi di Regolamento europeo, il GDPR è direttamente applicabile nell’ordinamento interno, seppure con la previsione della facoltà da parte degli Stati membri, di intervenire in punti molteplici. Ciò è avvenuto, ad esempio, in Italia con il decreto legislativo 10 agosto 2018, n. 101, che ha apportato rilevanti modifiche al d.lgs. 30 giugno 2023 n. 196 (c.d. Codice in materia di protezione dei dati personali o Codice Privacy), anche in relazione alla ricerca scientifica.
Proprio quest’ultima, del resto, ha ricevuto specifica cura dal legislatore europeo, essendo riconosciuta meritevole di incoraggiamento e sviluppo e, dunque, di un regime più favorevole rispetto ai generali oneri ed obblighi sanciti in tema di protezione dei dati personali e art. 89 GDPR.

Sennonché e nonostante il susseguirsi di queste garanzie, il costante utilizzo e riutilizzo dei dati personali, ha messo a dura prova gli strumenti giuridici tradizionali, indebolendo la capacità di bilanciare adeguatamente la necessità di condurre ricerche per migliorare la salute collettiva con la tutela degli interessi devi vari soggetti coinvolti.

I problemi cui si è appena fatto cenno, paradossalmente derivano dal fatto che la ricerca scientifica ha ricevuto un particolare favor dal legislatore europeo; questa sorta di predilezione, si riflette tanto nelle norme che regolano i principi fondamentali di cui all’art. 5, quanto nelle condizioni di liceità individuate negli art. 6 e 9 del GDPR.

Proprio quest’ultimo articolo sancisce in particolare un generale divieto di trattamento di particolari tipologie di dati, tra cui quelli afferenti alla salute, salvo il ricorrere di specifiche deroghe di cui al paragrafo 25.
E’ inoltre consentito agli Stati membri di determinare le condizioni di liceità di un trattamento di dati particolari per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per fini statistici, oltre alla possibilità di mantenere od introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometici o dati relativi alla salute (art. 9, par. 4 del GDPR).

In tale contesto, il legislatore italiano ha previsto che il trattamento di dati personali per scopi di ricerca scientifica debba essere effettuato anche nel rispetto dell’art. 110 e 110 bis del Codice in materia di protezione dei dati personali (c.d. “Codice Privacy”), nonché del Provvedimento Garante per la protezione dei dati personali (c.d. “Garante”) n. 146 del 5 giugno 2019, recante le Prescrizioni relative al trattamento di categorie particolari di dati ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101.

Le Regole deontologiche all’art. 7 prescrivono il consenso come base giuridica da adottare per ricerche scientifiche con trattamento di dati rientranti nelle categorie particolari.
Tuttavia, l’art. 100 del Codice identifica due alternative al consenso per i trattamenti di dati relativi alla salute a fini di ricerca scientifica medica, biomedica ed epidemiologica.

La prima delle due eccezioni esclude il consenso quando la ricerca risulti effettuata in base a disposizioni di legge o di regolamento od al diritto dell’Unione europea in conformità all’art. 9, par. 2 lett. j) del GDPR, compreso il caso in cui il progetto di ricerca ricada in un programma di ricerca biomedica o sanitaria previsto ex art. 12 bis del d.lgs. 20 dicembre 1992, n. 502.

Inoltre si può prescindere dal consenso quando, a causa di ragioni non predeterminate, informare gli interessati risulti impossibile od implichi uno sforzo sproporzionato, oppure rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.

In siffatte ipotesi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà ed i legittimi interessi dell’interessato; il programma di ricerca invece è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale ed il Garante è chiamato ad individuare, all’interno delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, le garanzie da osservare ai sensi dell’art. 106, comma 2, lettera d) del Codice Privacy.

Ora, in base al cpv. del cit. art. 110, la locuzione “la ricerca è effettuata in base a disposizioni di legge o di regolamento od al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j) del Regolamento” dovrebbe essere coordinata con l’interpretazione del dettato di cui all’art. 9, par. 2, lett. j) del GDPR.

Quest’ultima disposizione, infatti, richiede che la norma di legge deputata a fungere da base giuridica, sia proporzionata alla finalità scientifica, rispetti l’essenza del diritto alla protezione dei dati e preveda misura appropriate e specifiche per tutelare i diritti fondamentali dell’interessato.

E’ proprio su questo aspetto che si innestano due recenti pareri del Garante della protezione dei dati personali e cioè i provvedimenti n. 465 del 28 settembre 2023 (c.d. “Provvedimento PRIMAGE”) e n. 36 del 24 gennaio 2024 (“Provvedimento PRESERVE”).
Con il primo dei due provvedimenti, il Garante si è pronunciato su un’istanza di consultazione preventiva presentata dall’Università di Pisa ai sensi dell’art. 110 Codice Privacy e dell’art. 36 del GDPR, per la raccolta retrospettiva dei dati necessari per la realizzazione dello studio clinico “Predictive in silico Multiscale Analytics to support cancer personalized diagnosis and prognosis, Empowered by imaging biomarkers”.

Con il successivo provvedimento (n. 36 del 24 gennaio 2024), invece, il Garante si è pronunciato sull’istanza di consultazione preventiva presentata dall’Azienda Socio Sanitaria Territoriale degli Ospedali Civili di Brescia in qualità di promotore dello studio retrospettivo osservazionale denominato “Intelligenza artificiale per la definizione di nuove signature e modelli per la personalizzazione delle strategie di preservazione d’organo del cancro laringeo ed ipofaringeo – PRESERVE”.

L’obiettivo primario perseguito dall’azienda è stato quello di creare un modello multimodale in grado di predire la risposta a chemioterapia di induzione come strategia per la preservazione d’organo nel cancro localmente avanzato dalla laringe e dell’ipofaringe.

Così argomentando, il Garante ha di fatto recepito l’interpretazione dell’Azienda, riconoscendole di aver correttamente individuato le basi giuridiche del trattamento dei dati personali riferiti ai soggetti deceduti o non contattabili nella procedura di consultazione preventiva ai sensi dell’art. 110 del Codice Privacy e per i pazienti contattabili nel relativo consenso ai sensi dell’art. 9, par. 2, lett. a) del GDPR.

Anche in questo caso, il Garante ha dichiarato validi i motivi di ordine teorico – organizzativo indicati dall’Azienda a giustificare l’impossibilità di riuscire ad informare gli interessati per acquisirne il relativo consenso.

Tuttavia, come per l’altra tipologia di studio, il Garante ha condizionato il rilascio del parere positivo a diverse condizioni, tra cui la necessità di compiere e tenere traccia nella documentazione degli sforzi ragionevoli e proporzionati di informare ogni paziente, previa verifica dello stato in vita, in almeno tre tentativi di contatto non andati a buon fine.

Hai bisogno di supporto nella gestione della compliance privacy per la ricerca scientifica?

Il nostro team di esperti in diritto della protezione dei dati personali può aiutarti a:

  • Implementare procedure conformi alGDPR per progetti di ricerca medica e scientifica
  • Gestire correttamente il trattamento di dati sensibili nella ricerca
  • Ottenere pareri preventivi dal Garante Privacy per studi clinici e ricerche
  • Predisporre la documentazione necessaria per la compliance privacy in ambito sanitario

Contattaci per una consulenza specialistica in materia di:

✓ Privacy nella ricerca medica

✓ Compliance GDPR per studi clinici

✓ Protezione dati in ambito sanitario

1 Star2 Stars3 Stars4 Stars5 Stars (5 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.