I chiarimenti del Garante Privacy sui dati sanitari: regole deontologiche e FAQ sulla ricerca scientifica

Recentemente si scriveva di auspicate riforme in materia di trattamento di dati sanitari che promuovessero la circolazione e l’uso secondario dei dati per finalità di ricerca scientifica. E di come il quadro normativo vigente non consentisse di valorizzare pienamente i dati sanitari, il cui riutilizzo risultava invece limitato.

Ora pare che quel dialogo tra ricerca scientifica e protezione dei dati personali sia stato inaugurato.

Dapprima con la riforma dell’art. 110 del Codice in materia di protezione dei dati personali: la modifica, intervenuta con la l. 29 aprile 2024, n. 56, ha semplificato lo svolgimento dei trattamenti di dati personali nei casi in cui la raccolta del consenso degli interessati sia impossibile o richieda uno sforzo sproporzionato (ad esempio, se il soggetto interessato risulti deceduto o non contattabile). In questi casi, era previsto l’obbligatorio passaggio dal Garante per la protezione dei dati personali, che è stato oggi eliminato, a condizione che siano rispettate determinate misure di garanzia. 

Aderendo alla dialettica avviata dal legislatore, il Garante ha a sua volta fornito indicazioni sulle menzionate misure di garanzia, che dovrebbero essere contenute nelle Regole deontologiche per i trattamenti a fini di ricerca scientifica, attualmente in corso di aggiornamento: nel provvedimento n. 298 del 9 maggio 2024 l’Autorità ha rilevato infatti come “il mutato contesto (che si caratterizza anche per un cambiamento sostanziale delle modalità di realizzazione dell’attività di ricerca medica, sempre più supportata dall’utilizzo di nuove tecnologie) renda urgente l’adozione di nuove Regole deontologiche in tale settore”.

Nelle more del riesame e dell’adozione di queste nuove Regole, nel richiamato provvedimento il Garante individua le garanzie da applicare ai casi descritti al menzionato art. 110, ossia nei casi di trattamenti di dati sanitari per finalità di ricerca medica, biomedica e epidemiologica, riferiti a soggetti deceduti o non contattabili per motivi etici o organizzativi.

Riprendendo in parte quanto già dettato dalle “Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica” , il Garante esemplifica quali siano questi motivi etici ed organizzativi. Rientrano, ad esempio, nella prima categoria i motivi riconducibili alla circostanza che l’interessato ignora la propria condizione: in questo caso, l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi. Sono, invece, motivi di impossibilità organizzativa quelli riconducibili, ad esempio, alla circostanza che, all’esito di ogni ragionevole sforzo compiuto per contattare gli interessati (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto pubblicamente accessibili), essi risultino, al momento dell’arruolamento nello studio, deceduti o non contattabili.

In tutti questi casi, secondo il nuovo art. 110 del Codice, il titolare del trattamento di dati personali dovrebbe:

1) accuratamente motivare e documentare, nel progetto di ricerca, la sussistenza delle ragioni etiche o organizzative che non permettono l’acquisizione del consenso al trattamento dei dati personali;

2) svolgere e pubblicare la valutazione di impatto, ai sensi dell’art. 35 del GDPR;

3) darne comunicazione al Garante.

In altre parole, oggi ai fini della conduzione di studi retrospettivi che prevedono l’arruolamento di soggetti deceduti, non contattabili o versanti in gravi condizioni cliniche si potrebbe seguire l’iter sopra illustrato, fermo restando che possono esservi casi in cui altre basi giuridiche del trattamento siano parimenti ritenute adeguate (ad esempio, quando la finalità di ricerca scientifica sia prevista da una norma di legge o di regolamento, come nei casi di progetti finanziati con fondi europei o nazionali).

L’attività interpretativa del Garante ha recentemente riguardato anche un’altra fondamentale disposizione per gli Istituti di ricovero e cura a carattere scientifico (“IRCCS”). L’art. 110-bis, 4° comma del Codice prevede infatti che gli IRCCS possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca senza che ciò costituisca trattamento secondario dei dati raccolti per l’attività clinica.

Fino ad ora tale norma era stata liberamente attuata dagli operatori in maniera più o meno restrittiva o estensiva. Con le FAQ, di giugno 2024, il Garante ha fornito alcuni chiarimenti in merito all’ambito di applicazione oggettivo e agli adempimenti conseguenti all’attuazione della norma.

In particolare, richiamando quanto previsto all’art. 110, il Garante specifica che anche gli IRCCS, che trattino dati sulla base dell’art. 110-bis, 4° comma, sono obbligati a svolgere e a pubblicare la relativa valutazione d’impatto, precisando che tale adempimento può essere osservato mediante la diffusione della valutazione d’impatto sui propri siti web e sotto forma di estratto. Anche le informazioni sul trattamento dei dati personali – qualora questi non siano raccolti direttamente presso l’interessato, come nell’ipotesi di acquisizione dei dati da banche dati – potranno essere comunicate attraverso la pubblicazione sul sito web del promotore e, nel caso di studi multicentrici, anche sui siti web dei centri partecipanti, per tutta la durata dello studio.

Ancora più rilevante, per la portata significativamente estensiva, è l’ultima domanda, la n. 7, relativa all’ambito oggettivo di applicazione della norma. Testualmente il Garante afferma: “(…) La disposizione trova applicazione in relazione ad ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da tali Istituti ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli multicentrici promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento”.

Attraverso questa interpretazione il Garante espressamente riconosce l’adeguatezza della norma in esame a rendere legittimo non solo il trattamento di dati personali per fini di ricerca da parte dell’IRCCS, ma anche la comunicazione di tali dati a qualunque soggetto (IRCCS e non IRCCS) partecipante allo specifico progetto di ricerca.

In attesa dell’adozione e dell’attuazione dello Spazio europeo dei dati sanitari, gli operatori del settore sanitario potranno senz’altro beneficiare di questa iniziale apertura del quadro normativo nazionale.

______

*A cura dell’Avv. Laura Greco, DigitalMediaLaws

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più