Gli effetti della modifica dell’art.110 del Codice Privacy
Date le criticità evidenziate da molti operatori in merito alle difficoltà applicative dell’art.110, il Legislatore nell’ottica di favorire la ricerca e l’utilizzo secondario dei dati è intervenuto con la Legge 29 aprile 2024 n.56, che elimina dal testo del comma 1 il riferimento alla necessaria consultazione preventiva al Garante.
Tale modifica intervenuta costituisce un’importante misura di semplificazione nel settore della ricerca medica retrospettiva, che non viene liberalizzata completamente ma dovrà osservare specifiche misure di garanzia, la cui individuazione la norma affida al Garante, ai sensi dell’art.106, comma 2, lettera d) del Codice, nell’ambito delle Regole Deontologiche, ai sensi degli artt.2-quater e 106 del Codice e in conformità all’art.89 del GDPR.
Con provvedimento del 9 maggio 2024 l’Autorità Garante ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica, riferiti a pazienti deceduti o non contattabili e ha promosso l’avvio della procedura per l’adozione di nuove Regole Deontologiche per trattamenti a fini statistici o di ricerca scientifica, ai sensi degli artt. 2-quater e 106 del Codice, e quindi, in osservanza del principio di rappresentatività, ha invitato tutti i soggetti pubblici e privati interessati, che ritengano di avere titolo a sottoscrivere le Regole Deontologiche, e i portatori di un interesse qualificato che intendono partecipare ai lavori, a darne comunicazione all’Autorità.
Nelle more dell’approvazione delle nuove Regole Deontologiche, previa l’osservanza delle Regole deontologiche già vigenti per i trattamenti a fini statistici o di ricerca scientifica, di cui all’allegato A5 del Codice, il titolare nell’ambito dei trattamenti di dati sulla salute per finalità di ricerca medica, biomedica e epidemiologica, riferiti a soggetti deceduti o non contattabili per motivi etici o organizzativi, deve:
– adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati;
– acquisire il parere favorevole del competente Comitato Etico;
– motivare e documentare, nel progetto di ricerca, la sussistenza delle ragioni etiche o organizzative per le quali informare gli interessati e quindi acquisire il consenso, risulta impossibile o implichi uno sforzo sproporzionato oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca;
– svolgere e pubblicare la valutazione di impatto;
– dare comunicazione al Garante di tale pubblicazione.
A tale provvedimento è seguita la pubblicazione sul sito dell’Autorità Garante di una serie di FAQ sui presupposti giuridici e principali adempimenti per il trattamento da parte degli IRCCS dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca.
È necessario infatti sottolineare che gli IRCCS, ospedali di eccellenza che perseguono finalità di ricerca nel campo biomedico ed in quello della organizzazione dei servizi sanitari, ai sensi dell’art.110 bis, 4 comma, del Codice Privacy possono trattare i dati personali raccolti per l’attività clinica a fini di ricerca in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca e ciò non costituisce trattamento ulteriore da parte di terzi.
Il Garante ha chiarito che l’obbligo di pubblicazione della valutazione di impatto riguarda anche gli IRCCS , che però possono redigerla ma non pubblicarla nel caso in cui abbiano raccolto il consenso degli interessati.
Nel caso in cui la valutazione di impatto indichi che il trattamento possa presentare un rischio elevato, in assenza di misure adottate dal titolare per attenuare il rischio, ai sensi dell’art.36 del GDPR, si rende obbligatoria la consultazione preventiva del Garante.
L’art.110 bis, comma 4 del Codice, non definisce quali siano le tipologie di ricerche mediche alle quali esso si applica e pertanto il Garante evidenzia che tale disposizione trova applicazione ad ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa dagli IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli multicentrici promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento.
Dall’analisi del provvedimento del 9 maggio e delle FAQ appare centrale il principio di accountability in quanto il Titolare del trattamento, nell’ambito delle attività di ricerca, dovrà individuare la corretta base giuridica del trattamento e valutare le misure previste per affrontare i rischi per i diritti e le libertà degli interessati, consultando l’Autorità Garante, ove tali rischi non risultino mitigati.
È importante evidenziare anche il ruolo degli sperimentatori e dei Comitati Etici: ai primi spetta di illustrare nel progetto di ricerca i motivi, etici ed organizzativi, dell’impossibilità della raccolta del consenso – come indicato nel Provvedimento n.146 del 5 giugno 2019 “Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica” e nei vari provvedimenti rilasciati dal Garante ai sensi dell’art.110 – ai secondi l’onere di effettuare la valutazione sulla effettiva e comprovata sussistenza di tali motivi.
Conclusioni
La modifica normativa è stata creata per sviluppare la ricerca ma, purtroppo, da una prima analisi risultano ancora problematiche pratiche rilevanti. In particolare anche la nuova legge sembra continuare a vincolare la ricerca alla visione consenso – centrica in quanto non prevede come base giuridica l’interesse pubblico, come previsto in altri paesi europei (come la Spagna) e come suggerito dalle linee guida del Comitato dei Garanti europei per la protezione dei dati personali[1].
In assenza del consenso dei pazienti, ci sono degli oneri molto pesanti per le strutture sanitarie (pubbliche o private) che svolgono attività di ricerca: è richiesto, a tutela dei pazienti, di attivare e documentare il processo di valutazione di impatto privacy, che comporta un’intensa attività di adeguamento e delle responsabilità anche in capo agli sperimentatori. Inoltre per svolgere la valutazione di impatto privacy occorre disporre di un team multidisciplinare composto da medici, esperti di organizzazione, giuristi e informatici, è quindi necessario un approccio interdisciplinare, come richiesto dal Regolamento Europeo, al fine di poter garantire la protezione dei dati personali dei pazienti arruolati negli studi clinici.
Immagine: Foto di Louis Reed su Unsplash
[1]Parere 3/2018 relativo alle domande e risposte sull’interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dati del 23/01/2019
