Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

trattamento dati

Gdpr e sperimentazione clinica: le indicazioni del Comitato Ue per la protezione dei dati

Una sintesi e brevi considerazioni sui risvolti pratici delle indicazioni fornite dal Comitato europeo per la protezione dei dati sul rapporto tra il GDPR e il Regolamento 536/2014 sulla sperimentazione clinica di medicinali per uso umano

27 Feb 2019

Marta Moretti

cultrice di Diritto dell’Unione europea all’Università Luiss G. Carli

patient signing an informed consent in a doctors office

Il trattamento dei dati nell’ambito della sperimentazione clinica non deve necessariamente fondarsi sul consenso degli interessati. E’ questo uno dei risvolti pratici emersi dal parere reso nelle scorse settimane  dal Comitato europeo per la protezione dei dati (l’organismo consultivo che ha sostituito il Gruppo di lavoro art. 29) sul rapporto tra il Regolamento generale sulla protezione dei dati 2016/679 (GDPR) e il Regolamento 536/2014 sulla sperimentazione clinica di medicinali per uso umano (cosiddetto CTR).

In particolare, il Comitato ha chiarito come si coordinano le disposizioni del CTR relative al trattamento di dati personali nella sperimentazione clinica con la disciplina dettata dal GDPR. Questa esigenza è espressa in entrambi i Regolamenti (ai consideranda 161 del GDPR e 76 del CTR).

Anticipiamo quindi che il parere del Comitato non tratta in modo esaustivo il tema del trattamento di dati personali raccolti ai fini della sperimentazione clinica di medicinali. Esso concerne solo l’individuazione della base giuridica che, ai sensi del GDPR, legittima il trattamento di dati personali, mettendone in luce i limiti e individuando altre basi idonee a legittimare il trattamento dei dati nella sperimentazione.

Ecco una sintesi delle indicazioni fornite dal Comitato, a cui seguiranno delle brevi considerazioni sui risvolti pratici.

A monte è bene ricordare che il CTR, pur essendo entrato in vigore il 16 giugno 2014, non è ancora applicabile, non essendosi verificate le condizioni previste dai relativi artt. 82, par. 2 e 3, e 99, comma 2. Al riguardo, il Comitato afferma che presumibilmente il CTR diverrà applicabile nel 2020 (Opinion 3/2019).

Medio tempore continuano a trovare applicazione le norme nazionali adottate in attuazione delle direttive europee sulla buona pratica clinica relativa ai medicinali ad uso umano in fase di sperimentazione, che hanno preceduto il CTR (segnatamente, il D.lgs. 6 novembre 2007, n. 200; il D.lgs. 24 giugno 2003, n. 211; il Decreto ministeriale 15 luglio 1997).

Principali indicazioni fornite dal Comitato

Il Comitato, innanzitutto, ha precisato che le norme del CTR in tema di dati personali non derogano al GDPR, ma dovranno applicarsi insieme a quest’ultimo. La complementarietà tra le disposizioni dei due Regolamenti si evince dal richiamo che ognuno di essi fa all’altro (consideranda 156 e 161 del GDPR; artt. 7, par. 1, e 93, par. 1, e considerando 76 del CTR).

Il parere non affronta tutte le innumerevoli questioni che si pongono riguardo al trattamento di dati personali nella sperimentazione clinica, ma ne seleziona una, indubbiamente di grande rilevanza. Si tratta del tema delle basi giuridiche che, in linea con il GDPR (art. 6 sulla “liceità del trattamento”), legittimano il trattamento di dati personali nell’ambito della sperimentazione clinica.

Secondo il Comitato, nell’ambito di una sperimentazione (e, quindi, in attuazione del relativo protocollo) si effettuano trattamenti di dati personali per finalità in parte diverse che, quindi, possono avere differenti basi giuridiche.

In particolare, occorre distinguere fra tre trattamenti di dati personali, che possono avere luogo nel corso di una sperimentazione clinica.

Trattamento dati per fini di affidabilità e sicurezza

In primo luogo, vi sono trattamenti di dati personali per fini di affidabilità e sicurezza (“processing operations related to reliability and safety purposes”).

Si tratta di trattamenti dei dati finalizzati a garantire l’attendibilità dei risultati della sperimentazione, l’efficacia e la sicurezza dei medicinali e, quindi, la tutela della salute. Essi sono prescritti da specifiche disposizioni del CTR, che ne costituiscono la base giuridica ai sensi dell’art. 6, par. 1, lett. c) del GDPR. Sono, cioè, trattamenti necessari per adempiere a specifici obblighi legali a cui è soggetto il titolare del trattamento (a seconda dei casi, il promotore della sperimentazione, lo sperimentatore e/o il centro).

Nel parere il Comitato menziona i seguenti trattamenti di dati da parte del promotore sulla base di disposizioni del CTR:

  • la comunicazione al promotore di eventi avversi e di eventi avversi gravi da parte dello sperimentatore; la segnalazione all’Agenzia europea per i medicinali (c.d. EMA) di sospette reazioni avverse gravi e inattese da parte del promotore; la relazione annuale all’EMA sulla sicurezza del medicinale sperimentale utilizzato in una sperimentazione clinica da parte del promotore (artt. 41, 42 e 43 del CTR);
  • l’archiviazione del fascicolo permanente della sperimentazione clinica da parte del promotore (e dello sperimentatore) per 25 anni (art. 58 del CTR).

Nei casi in cui il trattamento dei dati personali è necessario per adempiere a determinati obblighi derivanti dal CTR, esso è legittimo ai sensi dell’art. 6, par. 1 lett. c) del GDPR, senza che occorra acquisire il consenso degli interessati.

Per quanto concerne i dati relativi alla salute e genetici (o altre categorie particolari di dati personali di cui all’art. 9, par. 1 del GDPR), il trattamento si considera necessario per motivi di interesse pubblico nel settore della sanità pubblica ex art. 9, par. 2, lett. i) del GDPR. In effetti, quest’ultima disposizione consente di derogare al divieto generale di trattare dati relativi alla salute e genetici quando, sulla base del diritto dell’UE o nazionale, ciò sia necessario a garantire “parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali”.

Si dovranno altresì rispettare gli ulteriori requisiti previsti dal GDPR, tra cui l’adozione di misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.

Trattamenti dati per meri scopi di ricerca scientifica

Altro è il caso dei trattamenti di dati per meri scopi di ricerca scientifica (“processing operations purely related to research activities”), richiedendosi per quest’ultima “un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi” (come risulta dalle Linee guida sul consenso adottate dal Gruppo di lavoro Articolo 29).

I trattamenti di dati personali posti in essere nell’ambito di una sperimentazione che non trovano puntuale disciplina nel CTR, a seconda dei casi, possono basarsi sul consenso dell’interessato – art. 6, par. 1, lett. a) del GDPR – o essere necessari per il perseguimento del legittimo interesse del titolare del trattamento – art. 6, par. 1, lett. f) del GDPR – o per l’esecuzione di un compito di interesse pubblico attribuito al titolare del trattamento – art. 6, par. 1, lett. e) del GDPR.

Per quanto riguarda i dati relativi alla salute e genetici (o altre categorie particolari di dati personali), il trattamento è consentito con il consenso dell’interessato – art. 9, par. 2, lett. a) del GDPR – o se è necessario per motivi di interesse pubblico nel settore della sanità pubblica – alle condizioni di cui all’art. 9, par. 2, lett. i) del GDPR – o a fini di ricerca scientifica – alle condizioni di cui all’art. 9, par. 2, lett. j) del GDPR. Queste basi giuridiche si applicano in combinato disposto con quelle indicate nel capoverso immediatamente precedente.

Il Comitato sottolinea che il “consenso dell’interessato” al trattamento dei dati personali (art. 4, n. 11 del GDPR) dev’essere tenuto distinto dal “consenso informato” a sottoporsi ad una sperimentazione clinica – artt. 2, par. 2) n. 21, 28, par. 1, lett. c), 29 del CTR. Ciò è evidenziato dal Considerando 161 del GDPR, secondo cui “ai fini del consenso alla partecipazione ad attività di ricerca scientifica nell’ambito di sperimentazioni cliniche dovrebbero applicarsi le pertinenti disposizioni del [CTR]”.

Riguardo al consenso al trattamento dei dati, il Comitato ricorda che, ai sensi del GDPR, esso è valido solo se “liberamente prestato” (art. 7, par. 4 del GDPR). Tale condizione non si verifica quando esiste un evidente squilibrio tra l’interessato e il titolare del trattamento (considerando 43 del GDPR) dovuto, ad esempio, all’“appartenenza del soggetto ad un gruppo economicamente o socialmente svantaggiato” o ad una sua “situazione di dipendenza istituzionale o gerarchica” (considerando 43 del CTR). Quando l’interessato si trova in queste o in altre situazioni “potenzialmente in grado di influire in maniera non appropriata” sulla decisione di consentire al trattamento dei suoi dati, il consenso non costituisce una base legittima appropriata.

È interessante notare che il Comitato ha tratto gli esempi di situazioni in cui l’interessato non è in grado di prestare liberamente il consenso al trattamento dei dati dal CTR, che se ne occupa “ai fini della certificazione della libertà del consenso informato” (considerando 43).

Anche nell’ambito della sperimentazione clinica, il consenso, ai sensi del GDPR, è revocabile in qualsiasi momento e la revoca preclude ogni ulteriore trattamento dei dati dell’interessato (come già precisato dalle citate Linee guida sul consenso), ferma restando la liceità dei trattamenti eseguiti sulla base del consenso sino alla revoca (art. 7, par. 3 del GDPR) e dei trattamenti (anche futuri) fondati su altre basi (come quelli necessari ad adempiere obblighi legali gravanti sul promotore, sullo sperimentatore e/o sul centro).

Riguardo alle altre possibili basi per il trattamento di dati personali per meri scopi di ricerca, il Comitato ha precisato che:

  • il trattamento di dati personali si può ritenere necessario per l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 6, par. 1, lett. e) del GDPR se la conduzione della sperimentazione rientra specificatamente nei compiti conferiti ad un ente (pubblico o privato) dalla legge nazionale;
  • il trattamento di dati personali necessario per il perseguimento del legittimo interesse del titolare del trattamento (ad esempio, il promotore o lo sperimentatore) è consentito “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato” – art. 6, par. 1, lett. f) del GDPR;
  • in ogni caso, il trattamento dei dati relativi alla salute e genetici dev’essere “necessario per motivi di interesse pubblico nel settore della sanità pubblica o “a fini di (…) ricerca scientifica (…)”, ciò “sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato”, come esige l’art. 9, par. 2, lett. i) e j) del GDPR.

Trattamenti ulteriori dei dati personali

Infine, vi sono i trattamenti ulteriori dei dati personali al di fuori di quanto previsto nel protocollo della sperimentazione clinica esclusivamente per fini scientifici (“secondary uses of clinical trial data outside the clinical trial protocol for scientific purposes”). Si tratta dell’ipotesi contemplata dall’art. 28, par. 2 del CTR.

A parere del Comitato, il trattamento dei dati raccolti nella sperimentazione per scopi scientifici non previsti dal protocollo della sperimentazione è consentito con il consenso dell’interessato oppure se tali scopi devono considerarsi compatibili con quelli della raccolta – art. 5, par. 1, lett. b) del GDPR.

Ai sensi del GDPR, Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti è consentito ove sia compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti – art. 5, par. 1, lett. b) e considerando 50 del GDPR. In tal caso, non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali (così, testualmente, il considerando 50).

In linea di principio, un ulteriore trattamento dei dati personali a fini di ricerca scientifica deve ritenersi compatibile con le finalità iniziali – art. 5, par. 1, lett. b) e considerando 50 del GDPR – purché siano rispettate le condizioni e le garanzie per i diritti e le libertà dell’interessato ai sensi dell’art. 89, par. 1 del GDPR (tra cui le misure tecniche e organizzative idonee a garantire la minimizzazione dei dati, inclusa la pseudonimizzazione e, ove possibile, l’anonimizzazione).

Secondo il Comitato, tale presunzione di compatibilità, pur esigendo un’attenta valutazione caso per caso, potrebbe operare per il trattamento ulteriore dei dati personali raccolti in una sperimentazione clinica per scopi scientifici non previsti dal protocollo.

Il “secondary use” dovrà svolgersi nel rispetto dei requisiti previsti dal GDPR, tra cui le garanzie specifiche per il trattamento di dati a fini di ricerca scientifica (art. 89 del GDPR).

I possibili risvolti pratici

Come abbiamo già indicato, il parere del Comitato riguarda soltanto l’individuazione della base giuridica che, ai sensi del GDPR, legittima il trattamento di dati personali.

Inoltre, il Comitato si è espresso sul coordinamento tra il GDPR e talune disposizioni del CTR, che si riferiscono (o sembrano riferirsi) al trattamento dei dati personali.

Tuttavia, questo parere può avere dei risvolti pratici estremamente rilevanti anche prima che il CTR diventi applicabile. In effetti, dal parere si possono ricavare degli spunti interpretativi utili anche ai fini del trattamento di dati personali nelle sperimentazioni soggette alle norme interne attualmente applicabili o, addirittura, negli studi non interventistici (non soggetti alla disciplina della sperimentazione clinica).

Innanzitutto, il parere riconosce espressamente che il trattamento dei dati nell’ambito della sperimentazione clinica non debba necessariamente fondarsi sul consenso degli interessati. Il parere mette persino in luce i limiti (connessi ai requisiti di libertà e revocabilità) che tale base giuridica presenta in questo specifico ambito.

In linea con questo approccio, il parere individua altre basi idonee a legittimare il trattamento dei dati nella sperimentazione. La più rilevante è l’adempimento degli obblighi imposti al titolare del trattamento (quindi, il promotore, lo sperimentatore e/o il centro di sperimentazione) da norme che disciplinano le sperimentazioni, al fine di garantire l’attendibilità dei risultati, l’efficacia e la sicurezza dei medicinali e, quindi, la tutela della salute pubblica.

Inoltre, il parere riconosce che l’interesse legittimo del titolare possa giustificare il trattamento dei dati purché non prevalga l’esigenza di tutelare i diritti e gli interessi dell’interessato.

Il secondary use dei dati raccolti nella sperimentazione

Il parere appare meno chiaro nella parte relativa al “secondary use” dei dati raccolti nella sperimentazione clinica al di fuori di quanto previsto nel protocollo, esclusivamente per fini scientifici. Da un lato, vi è il richiamo all’art. 28, par. 2 del CTR, che prevede l’acquisizione del consenso dell’interessato, e, dall’altro, il rinvio all’art. 5, par. 1, lett. b) del GDPR, secondo cui un ulteriore trattamento dei dati personali a fini di ricerca scientifica (nel rispetto delle garanzie di cui all’art. 89, par. 1 del GDPR) non è considerato incompatibile con le finalità iniziali, senza cioè che sia richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali (come chiarisce il considerando 50 del GDPR).

Il Comitato non ha ben spiegato quale sia il rapporto tra tali previsioni. Esso sembra essersi avvalso dell’art. 28, par. 2 del CTR per ricostruire la nozione di “secondary use” dei dati inizialmente raccolti ai fini della sperimentazione, mentre abbia individuato nell’art. 5, par. 1, lett. b) del GDPR la base che, a certe condizioni, legittima tale ulteriore trattamento.

Parere del comitato e codice della privacy

Gli operatori del settore dovranno coordinare le indicazioni contenute nel parere del Comitato con le disposizioni del Codice della privacy (D.lgs. 30 giugno 2003, n.196, come novellato dal D.lgs. 10 agosto 2018, n. 101), che integrano quelle del GDPR.

Giova ricordare che il Codice della privacy distingue tra il trattamento di dati personali per finalità di cura, il trattamento che coniuga le finalità di cura e quelle di ricerca scientifica e il trattamento per mere finalità di ricerca. Solo nell’ultima ipotesi il trattamento deve basarsi sul consenso dell’interessato, salvo che non risponda ad un determinato interesse pubblico (artt. 2-sexies, par. 2, lett. cc e 110 del Codice).

Inoltre, il Codice della privacy reca all’art. 110 bis una nozione di “trattamento ulteriore di dati personali (…) a fini di ricerca scientifica” che non coincide con quella delineata nel parere del Comitato europeo per la protezione dei dati.

Il citato art. 110 bis prevede che il Garante per la privacy possa autorizzare il trattamento ulteriore di dati personali (compresi quelli relativi alla salute e genetici) a fini di ricerca scientifica “da parte di soggetti terzi che svolgano principalmente tali attività”, prescrivendo “le misure necessarie per assicurare adeguate garanzie a tutela degli interessati”. Ai sensi dell’art. 2 septies, comma 6 del Codice, “limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato” (da non confondere con il consenso come base legale del trattamento).

Ai sensi dell’art. 22 del Codice, il Garante ha riesaminato le Autorizzazioni generali relative al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale e al trattamento dei dati genetici, per individuare le prescrizioni compatibili con il GDPR e con il Codice novellato, nonché provvedere, ove necessario, ad un aggiornamento (si veda il Provvedimento n. 497 del 13 dicembre 2018, sottoposto a consultazione pubblica).

Le citate Autorizzazioni, come riviste dal Garante, prevedono che il consenso dell’interessato non sia necessario quando la ricerca scientifica è effettuata in base a disposizioni di legge e a fini di cura della salute (si veda il par. 5.3 delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica di cui all’Autorizzazione generale n. 9/2016 e par. 4.5 n. 4 delle Prescrizioni relative al trattamento dei dati genetici di cui all’Autorizzazione generale n. 8/2016).

Al di fuori di tale ipotesi, è invece richiesto il consenso dell’interessato, salvo casi eccezionali in cui non lo si possa ottenere. Lo stesso dicasi per l’“ulteriore trattamento” per scopi di ricerca dei dati genetici raccolti per scopi di tutela della salute (par. 4.11.3 delle Prescrizioni relative al trattamento dei dati genetici).

Occorre precisare che le Autorizzazioni generali (strumento giuridico non contemplato dal GDPR) saranno efficaci sino all’adozione delle misure di garanzia per il trattamento dei dati relativi alla salute e genetici, in attuazione dell’art. 9, par. 4 del GDPR (artt. 2 septies e 22, comma 4 del Codice).

Sul piano pratico, è consigliabile seguire il parere del Comitato europeo per la protezione dei dati ai fini dell’individuazione delle basi giuridiche per il trattamento di dati personali nell’ambito della sperimentazione clinica, nonché attenersi alle Autorizzazioni generali del Garante per quanto concerne gli ulteriori requisiti necessari a garantire un’adeguata tutela dei dati relativi alla salute e genetici (ad esempio, le misure di sicurezza tecniche e organizzative).

Questo approccio si giustifica perché le basi legali per il trattamento dei dati sono previste dal GDPR (artt. 6, par. 1 e 9, par. 2) e non derogabili dal diritto nazionale, mentre “gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute” (art. 9, par. 4 del GDPR).

Inoltre, le Linee guida del Garante per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali del 2008 (Deliberazione n. 52 del 24 luglio 2008) continuano a rappresentare un utile punto di riferimento per individuare dei titolari del trattamento dei dati nelle sperimentazioni e del ruolo (solitamente di responsabili del trattamento) che possono assumere altri soggetti che intervengono nella sperimentazione (ad esempio, i clinical study monitor, le organizzazioni di ricerca a contratto e i laboratori di analisi).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4