LA TUTELA DEI DATI PERSONALI NELLE SPERIMENTAZIONI CLINICHE: GDPR E CTR A CONFRONTO

1. Premessa

Il 25 maggio 2018 ha tenuto la sua prima riunione il Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB, semplicemente Comitato nel prosieguo), previsto dalla Sezione terza del Capo VII del GDPR, dedicato alle norme relative all’obbligo di coerenza e collaborazione tra le Autorità nazionali di controllo.

L’importanza dell’EDPB è evidente dato che, avendo sostituito il Working Party art. 29 (WP29) – che per vent’anni è stato l’organo di raccordo, coordinamento e supporto tra le Autorità nazionali in tema di tutela dei dati personali – è il vero organo europeo titolare del compito fondamentale di garantire l’applicazione del GDPR: è chiamato infatti a controllare che le Autorità nazionali applichino correttamente la nuova regolazione europea.

Neanche 5 mesi dopo il suo insediamento, l’8 ottobre 2018 la Commissione europea (DG SANTE) ha presentato al Comitato una richiesta di consulenza a norma dell’articolo 70 del GDPR in merito al documento “Domande e risposte sull’interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati“.

Il regolamento sulla sperimentazione clinica è il Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE, conosciuto anche come Clinical Trials Regulation (CTR).

Mentre il GDPR garantisce la tutela delle persone fisiche con riguardo al trattamento dei dati personali e norme armonizzate sulla libera circolazione di tali dati, il CTR mira a garantire una maggiore armonizzazione delle norme sullo svolgimento delle sperimentazioni cliniche in tutta l’UE. In particolare e in breve, esso introduce una procedura di autorizzazione basata su un’unica presentazione mediante un unico portale UE, una procedura di valutazione che conduce a un’unica decisione, norme sulla protezione delle persone coinvolte e obblighi in materia di consenso informato e di trasparenza. Il CTR è entrato in vigore il 16 giugno 2014, ma la sua applicazione è stata posticipata in quanto dipende dallo sviluppo e dalla piena funzionalità di un portale UE e di una banca dati UE sulle sperimentazioni cliniche, che dovrebbe diventare applicabile nel 2020 una volta effettuato un audit indipendente e trascorsi 6 mesi dalla pubblicazione di un avviso di conferma da parte della Commissione europea.

Detto questo, occorre considerare come l’art. 93 del CTR stabilisce che “[g]li Stati membri applicano la direttiva 95/46/CE [ora GDPR] al trattamento dei dati personali effettuato negli Stati membri a norma del presente regolamento” e che anche il GDPR fa esplicito riferimento alla pertinente legislazione applicabile alle sperimentazioni cliniche – si vedano in proposito i Considerando 156 e 161 del GDPR. Ne consegue che le due normative si applicano simultaneamente e che il CTR costituisce una normativa settoriale che prevede disposizioni specifiche pertinenti dal punto di vista della protezione dei dati e non deroga al GDPR.

 

2. La richiesta della Commissione europea al Comitato

Entrando nel merito della richiesta della Commissione Europea al Comitato, essa chiede a quest’ultimo di esprimersi in particolare in materia di basi giuridiche, consenso informato, revoca del consenso, informazioni sulla protezione dei dati, trasferimento di dati e utilizzi secondari dei dati raccolti per ulteriori finalità scientifiche.

Il Comitato, dal canto suo, riconoscendo l’urgente necessità di chiarimenti a seguito dell’entrata in vigore del GDPR, ha deciso di concentrare le proprie osservazioni sulla questione della base giuridica appropriata per il trattamento dei dati personali nell’ambito di una sperimentazione clinica (uso primario) e sulla questione degli usi secondari dei dati delle sperimentazioni cliniche per altri fini scientifici.

 

3. La risposta del Comitato circa la base giuridica per il trattamento dei dati personali nell’ambito di un protocollo di sperimentazione clinica (uso primario)

Con la Opinion 3/2019 il Comitato risponde focalizzandosi anzitutto sulla base giuridica per il trattamento dei dati personali nell’ambito di un protocollo di sperimentazione clinica (uso primario), ossia: il trattamento dei dati personali che riguarda l’intera durata del protocollo di sperimentazione clinica, dall’inizio del trial – e quindi dalla raccolta dei dati personali – fino alla cancellazione, al termine del periodo di conservazione dei dati personali.

In proposito, il Comitato distingue tra:

1. Trattamenti correlati a finalità di affidabilità e sicurezza, e
2. Trattamenti correlati esclusivamente ad attività di ricerca,

i quali prevedono basi giuridiche diverse.

3.1 Trattamenti correlati a finalità di affidabilità e sicurezza

Secondo il Comitato, i trattamenti espressamente previsti dal regolamento sulla sperimentazione clinica e dalle pertinenti disposizioni nazionali, e che sono correlati a finalità di affidabilità e sicurezza, possono considerarsi trattamenti necessari “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR, e quindi ricadono automaticamente nella base giuridica di tale articolo.

Per far sì che tale base giuridica sia applicabile, il Comitato ricorda quanto già detto in passato dal WP29 nel Parere 6/2014, vale a dire che la base giuridica in esame può essere applicabile a condizione che: (i) l’obbligo sia imposto dalla legge; (ii) la legge soddisfi tutte le condizioni per rendere l’obbligo valido e vincolante; (iii) la legge rispetti la normativa in materia di protezione dei dati personali, compresi i requisiti di necessità, proporzionalità e limitazione delle finalità di trattamento; (iv) lo stesso obbligo giuridico sia sufficientemente chiaro; (v) il Titolare del trattamento non abbia un livello eccessivo di discrezione su come rispettare l’obbligo giuridico in oggetto.

Prosegue il Comitato chiarendo come ciò valga, in particolare:

a) per gli obblighi relativi alle comunicazioni in materia di sicurezza di cui agli articoli da 41 a 43 del CTR;

b) per l’obbligo di archiviazione del fascicolo permanente della sperimentazione clinica (obbligo di archiviazione per un periodo di 25 anni a norma dell’articolo 58 del regolamento sulla sperimentazione clinica) e delle cartelle cliniche (obbligo di archiviazione per un periodo stabilito dal diritto nazionale a norma della stessa disposizione);

c) per qualsiasi divulgazione di dati di sperimentazione clinica alle autorità nazionali competenti nel corso di un’ispezione conformemente alle pertinenti norme nazionali (si vedano gli articoli da 77 a 79 del regolamento sulla sperimentazione clinica).

Pertanto, chiarisce il Comitato, la condizione appropriata per la liceità del trattamento di categorie particolari di dati nell’ambito di tali obblighi sarebbe l’articolo 9, paragrafo 2, lettera i): “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

3.2 Trattamenti correlati esclusivamente ad attività di ricerca

Per quanto riguarda le operazioni di trattamento dei dati per finalità di ricerca scientifica, il Comitato ritiene che tali trattamenti non possano avere come base giuridica un obbligo legale. Essi infatti, dipendendo dall’insieme delle circostanze della sperimentazione e della concreta attività di trattamento, possono rientrare all’interno:

• dei trattamenti cui l’interessato ha prestato un consenso esplicito (articolo 6, paragrafo 1, lettera a), in combinato disposto con l’articolo 9, paragrafo 2, lettera a), GDPR);
• dei trattamenti necessari per l’esecuzione di un compito di interesse pubblico (articolo 6, paragrafo 1, lettera e), GDPR);
• dei trattamenti necessari per il perseguimento del legittimo interesse del titolare del trattamento (articolo 6, paragrafo 1, lettera f), in combinato disposto con l’articolo 9, paragrafo 2, lettera i) o j), GDPR).

3.2. a) Consenso esplicito.

Anzitutto occorre distinguere, secondo il Comitato, tra il consenso informato alla sperimentazione clinica del CTR, e il consenso “esplicito” al trattamento dei dati personali ai sensi del GDPR. Ebbene, mentre l’obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all’integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell’Unione europea, esso non è tuttavia concepito per rispettare gli obblighi in materia di protezione dei dati. Pertanto, a norma del GDPR, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito (articolo 9, paragrafo 2, lettera a), GDPR). Seguendo le linee guida del WP29 (Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 del 10 aprile 2018, approvate dal Comitato il 25 maggio 2018) il titolare del trattamento dovrebbe prestare particolare attenzione alla condizione del consenso “libero”.

Come indicato nelle richiamate linee guida, questo elemento implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Inoltre, il consenso non può costituire una valida base giuridica per il trattamento dei dati personali qualora vi sia un evidente squilibrio tra l’interessato e il titolare del trattamento. Secondo il Comitato, si verifica una tale situazione, ad esempio, quando il partecipante non è in buone condizioni di salute, appartiene a un gruppo economicamente o socialmente svantaggiato o si trova in una situazione di dipendenza istituzionale o gerarchica.

Pertanto, come spiegato nelle richiamate linee guida, nella maggior parte dei casi il consenso non costituirà una base giuridica appropriata e occorrerà fare riferimento ad altre basi giuridiche (infra). Di conseguenza, il Comitato ritiene che il titolare del trattamento dovrebbe effettuare una valutazione particolarmente approfondita delle circostanze della sperimentazione clinica prima di ricorrere al consenso dell’interessato come base giuridica per trattare i dati personali ai fini delle attività di ricerca di tale sperimentazione.

Inoltre, il GDPR dispone che se il consenso è utilizzato come base giuridica per il trattamento, l’interessato deve poter revocare il proprio consenso in qualsiasi momento (articolo 7, paragrafo 3), e non prevede alcuna eccezione a tale disposizione, neanche per la ricerca scientifica. Di norma, in caso di revoca del consenso, tutti i trattamenti effettuati in base al consenso restano leciti (articolo 7, paragrafo 3); tuttavia, il titolare del trattamento deve interrompere i trattamenti in questione e, se non sussiste un’altra base giuridica che giustifichi la conservazione dei dati in vista di un trattamento ulteriore, deve cancellare i dati (articolo 17, paragrafo 1, lettera b), e articolo 3, GDPR).

Tuttavia, la revoca del consenso non compromette i trattamenti che si fondano su altre basi giuridiche, in particolare gli obblighi legali cui è soggetto il promotore/sperimentatore, quali quelli connessi a finalità di sicurezza (si veda il punto 3.1).

3.2. b) Compito svolto nell’interesse pubblico o legittimo interesse del titolare del trattamento.

Il trattamento dei dati personali da parte del titolare del trattamento potrebbe essere considerato “necessario per l’esecuzione di un compito di interesse pubblico” a norma dell’articolo 6, paragrafo 1, lettera e), del GDPR. Il trattamento dei dati personali nel contesto delle sperimentazioni cliniche può quindi essere considerato necessario per l’esecuzione di un compito di interesse pubblico quando la conduzione delle sperimentazioni cliniche rientra direttamente nel mandato, nelle funzioni e nei compiti di un organismo pubblico o privato a norma del diritto nazionale.

Per tutte le altre situazioni in cui la conduzione di sperimentazioni cliniche non possa essere considerata necessaria per lo svolgimento di compiti di interesse pubblico conferiti al titolare del trattamento per legge, il Comitato ritiene che il trattamento dei dati personali potrebbe essere “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato” a norma dell’articolo 6, paragrafo 1, lettera f), del GDPR. Tuttavia, per il trattamento di categorie particolari di dati, la base giuridica di cui all’articolo 6 del GDPR si applica solo se l’articolo 9 del GDPR preveda una deroga specifica al divieto generale di trattare tali categorie di dati personali. Il Comitato ritiene dunque che, a seconda delle circostanze specifiche di una sperimentazione clinica, le basi giuridiche applicabili ex art. 9 del GDPR potrebbero essere sia i “motivi di interesse pubblico nel settore della sanità pubblica” ex art. 9.2 lett. i) sia la “ricerca scientifica” ex art. 9.2 lett. j).

4. La risposta del Comitato circa gli usi secondari dei dati di sperimentazione clinica al di fuori del protocollo di sperimentazione clinica per fini scientifici

Il CTR affronta specificamente la questione degli utilizzi secondari di cui all’articolo 28.2 del CTR, con particolare attenzione al consenso alla sperimentazione.

Il CTR ritiene che il consenso per questa finalità specifica di trattamento debba essere chiesto all’interessato o al suo rappresentante legalmente designato al momento della richiesta di consenso informato alla partecipazione alla sperimentazione clinica.

Tuttavia, il Comitato si premura nuovamente di sottolineare come il consenso previsto all’articolo 28, paragrafo 2, del CTR sia diverso rispetto al consenso cui fa riferimento il GDPR come base giuridica per il trattamento dei dati personali, a prescindere dal fatto che esso costituisca o meno la base giuridica del trattamento primario.

Pertanto, secondo il Comitato, se il promotore o lo sperimentatore volesse utilizzare ulteriormente i dati personali raccolti, per fini scientifici diversi da quelli specificati nel protocollo di sperimentazione clinica, occorrerebbe un’altra base giuridica specifica oltre a quella utilizzata per la finalità primaria.

Tale approccio, tuttavia, escluderebbe in tutti i casi l’applicabilità della c.d. presunzione di compatibilità di cui all’articolo 5, paragrafo 1, lettera b), GDPR. Tale norma, in particolare, dispone che qualora i dati siano successivamente trattati a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, tale trattamento non è a priori considerato incompatibile con la finalità iniziale, purché ciò avvenga in conformità delle disposizioni dell’articolo 89, che prevede specifiche garanzie adeguate e deroghe in questi casi. In tal caso, il titolare del trattamento potrebbe essere in grado, a determinate condizioni, di trattare successivamente i dati senza che sia necessaria una nuova base giuridica.

Ovviamente, dovrà farlo nel rispetto di tutte le altre pertinenti disposizioni applicabili in materia di protezione dei dati di cui all’articolo 28, paragrafo 2, CTR. Pertanto, non potrà ritenersi che il titolare del trattamento sia esentato dagli altri obblighi previsti dalla normativa in materia di protezione dei dati, ad esempio per quanto riguarda la correttezza del trattamento, la liceità (ossia la conformità al diritto dell’Unione e nazionale applicabili), la necessità e la proporzionalità del trattamento stesso, nonché la qualità dei dati.

(3 votes, average: 5,00 out of 5)
Loading...