Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SANITA' DIGITALE

Ricerca medica e GDPR, i nodi da sciogliere sui dati del paziente

E’ sulla differenza tra consenso informato in ambito medico e consenso in “chiave privacy” che si gioca la partita finale delle sperimentazioni cliniche il cui regolamento sarà applicato nel 2020. Ecco i punti controversi da risolvere in vista del progetto per la creazione di un database di ricerche comunitario

10 Feb 2020
Anna Capoluongo

Avvocato, Data Protection Officer


Regolamenti comunitari alla sfida GDPR sul fronte della sperimentazione medica nella sanità digitale. Nell’ambito dei trial clinici infatti, a gennaio 2019, l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato un parere[1] relativo al documento “Domande e risposte sull’interazione tra il regolamento sulle sperimentazioni cliniche (o CTR, nda) e il Regolamento generale sulla protezione dei dati (o GDPR, nda)”, sottopostogli dalla Commissione Europea nell’ottobre 2018.

Va anzitutto chiarito che il CTR è entrato in vigore tempo addietro, ossia il 16 giugno 2014, ma la piena applicazione è prevista solo per il 2020, dipendendo dall’integrale sviluppo e dalla piena funzionalità di un portale e di una banca dati europei prettamente dedicati alle sperimentazioni cliniche.

E’, inoltre, il caso di ricordare che GDPR e CTR trovano applicazione simultanea, poiché il CTR, che mira ad armonizzare le regole per lo svolgimento di sperimentazioni cliniche in tutta l’UE, non contiene alcuna deroga al Regolamento europeo 679/2016 ed anzi va qualificato come normativa specifica di settore che puntualizza l’aspetto della protezione dei dati in ambito di sperimentazione clinica.

Dati dei pazienti, la base giuridica

Ecco, dunque, che andrà operato uno sforzo integrativo tra il Regolamento, il Codice Privacy e il CTR, così come previsto ex art. 9 c. 4 GDPR e art. 2-septies del D.Lgs. 196/2003 come novellato dal D.Lgs. 101/2018, ovverosia mediante il mantenimento o l’introduzione di ulteriori condizioni – comprese limitazioni – con riguardo al trattamento di dati genetici, biometrici o relativi alla salute da parte degli Stati membri e/o mediante l’emanazione di misure di garanzia da parte del Garante per la protezione dei dati personali.

Il parere dell’EDPB, pertanto, rileva, in particolare, nella misura in cui fornisce spunti interessanti in merito all’individuazione della corretta base giuridica per il trattamento dei dati dei pazienti, distinguendo tra uso primario (per le operazioni di trattamento relative a uno specifico protocollo di sperimentazione clinica durante l’intero ciclo di vita, dall’avvio all’archiviazione e alla cancellazione) e uso secondario (per diverse finalità scientifiche) dei dati.

Pur se rientrati nel medesimo “uso”, vi possono, però, essere trattamenti finalizzati a scopi diversi e che poggiano su differenti basi giuridiche. Ecco, quindi, che nell’uso primario vanno ulteriormente distinte due categorie di trattamento: attività di ricerca e tutela della salute.

Quanto a quest’ultima (altresì individuata come “finalità di affidabilità e sicurezza”), potendo ben rientrare nella definizione di trattamenti necessari per adempiere un obbligo legale, la base giuridica applicabile viene individuata nell’art. 6, par. 1, lettera c) del Gdpr. Sulla scorta del parere 6/2014 WP29 sulle condizioni di applicabilità di tale base giuridica, infatti, il Comitato ha ritenuto che tali specifiche valgano in particolare per gli obblighi di comunicazioni in materia di sicurezza ex artt. 41,42 e 43 del CTR, per l’obbligo di archiviazione delle cartelle cliniche e del fascicolo permanente della sperimentazione clinica (25 anni) e per la divulgazione di dati di sperimentazione alle autorità nazionali competenti.

Il parere del Garante Privacy italiano

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

In alternativa, una valida base di trattamento può essere individuata nei motivi di interesse pubblico nel settore della sanità pubblica, ex art. 9, par. 2, lettera i), cui si rimanda.

Del resto, in linea con tale logica, è il caso di ricordare anche il provvedimento del Garante privacy italiano n. 55 del 7 marzo 2019, che per le “finalità di cura ha espressamente escluso la richiesta del consenso da parte del professionista sanitario o da altra persona comunque soggetta al segreto professionale ed ha indicato quale deroga al divieto generale di trattare dati particolari ex art. 9 GDPR i motivi di interesse pubblico nel settore della sanità pubblica.

Con riferimento all’attività di ricerca, invece, l’attenzione va focalizzata sulla distinzione tra consenso informato in ambito medico e di sperimentazione clinica e consenso al trattamento dei dati in “chiave privacy”. La ratio sottesa all’ottenimento del consenso informato è espressione della tutela del diritto alla dignità umana, all’integrità della persona e all’osservanza dei requisiti etici fondamentali ed imprescindibili in ambito clinico-sanitario.

Quanto al consenso al trattamento dei dati viene, invece, ricordato come questo debba essere libero[2], specifico, informato, inequivocabile ed esplicito[3]. Dal momento che nell’ambito delle sperimentazioni cliniche il rapporto tra interessato e titolare spesso è caratterizzato da condizioni di squilibrio tra le parti, ciò potrebbe condurre alla situazione paradossale di aver correttamente ottenuto il consenso informato, ma di non essere in possesso di un consenso per il trattamento che sia “liberamente espresso” e quindi valido.

Cosa comporta la revoca del consenso

Andrebbe, inoltre, analizzata la differenza tra revoca del consenso informato e revoca del consenso al trattamento, laddove la prima ai sensi del CTR “non compromette le attività già svolte e l’utilizzo dei dati ottenuti sulla base del consenso informato prima della sua revoca” e “(fa) salva la direttiva 95/46/CE (ora regolamento generale sulla protezione dei dati)”[4], mentre la seconda non prevede nessuna eccezione per la ricerca scientifica e dunque – laddove non sussista una differente base giuridica che giustifichi la conservazione – comporta l’interruzione del trattamento e la cancellazione dei dati tutti.

In virtù di ciò, sebbene il consenso esplicito possa essere ritenuto una corretta base di trattamento, il Comitato ne individua altre due, ovverosia l’interesse pubblico[5] (ad esempio quando la conduzione delle sperimentazioni cliniche rientra nel mandato, nelle funzioni e nei compiti di un organismo pubblico o privato a norma del diritto nazionale) e il legittimo interesse ex art. 6, par. 1, lettera f) quale criterio residuale.

Con riferimento a dati particolari, infine, il Comitato ha ritenuto che “a seconda delle circostanze specifiche della sperimentazione clinica, la condizione appropriata di cui all’articolo 9 del regolamento generale sulla protezione dei dati per finalità esclusivamente di ricerca potrebbe essere: motivi di interesse pubblico nel settore della sanità pubblica” oppure “fini di ricerca scientifica”.

Da ultimo e con focus sull’uso secondario, invece, il CTR si concentra specificamente sul consenso e prevede i soli casi in cui il trattamento dei dati avvenga “al di fuori di quanto previsto nel protocollo” ma esclusivamente per fini scientifici. Tale consenso andrebbe richiesto unitamente al consenso informato per la sperimentazione, ricordando che le basi giuridiche relative all’uso primario e secondario andranno tenute distinte e potranno essere le medesime oppure differire.

Nonostante il Comitato abbia ritenuto che in tal caso la presunzione di compatibilità[6] ex art. 5 e 6 del GDPR non sia applicabile, in assenza di orientamenti specifici, tale presunzione non dovrebbe ad oggi essere esclusa, purché nel rispetto delle ulteriori disposizioni e garanzie previste dal Regolamento europeo n. 679/2016.

Note

  1. Parere EDPB n. 3/2019, adottato il 23 gennaio 2019. ↑
  2. Perché sia libero l’interessato dovrà avere la possibilità effettiva di operare una scelta e di controllare i propri dati e non dovrà, inoltre, trovarsi in una posizione di squilibrio/minoranza rispetto al titolare. ↑
  3. Per valutare se il consenso sia esplicito e possa essere considerato come base valida per il trattamento si potrà fare riferimento alle Linee guida WP29 sul consenso del 10 aprile 2018. ↑
  4. Si veda parere EDPB n. 3/2019. ↑
  5. Si veda Considerando 45 GDPR. ↑
  6. Tale presunzione prevede che il trattamento in un secondo momento di dati per fini di archiviazione per pubblico interesse, ricerca scientifica o storia o a fini statistici non venga considerato a priori incompatibile con la finalità iniziale purché vi siano adeguate garanzie previste dal GDPR. ↑

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

@RIPRODUZIONE RISERVATA

Articolo 1 di 3