Trial clinici, portabilità dei dati più vicina. Stop ai silos, largo alla blockchain - Agenda Digitale

SANITA' DIGITALE

Trial clinici, portabilità dei dati più vicina. Stop ai silos, largo alla blockchain

Solo superando un approccio per sistemi centralizzati sarà possibile garantire privacy, sicurezza e interoperabilità delle informazioni sanitarie come prevede il GDPR. Vediamo come una serie di progetti europei punta a realizzare una “Universal Compliance” non per imposizione di legge, ma by design

23 Dic 2020
Saverio Caruso

Legal and Ethics Monitoring Manager nell’ambito dei Progetti Europei H2020

A chi appartengono i dati personali trattati nell’ambito di uno studio clinico? Nonostante norme privacy e GDPR, il dibattito è ancora aperto. Facciamo un’analisi dei progetti europei in campo che mirano ad assicurare la portabilità dei dati personali anche in caso di sperimentazioni per la ricerca medica, partendo dalle Linee guida del Garante privacy.

Cosa prevedono le linee guida del Garante Privacy

Come è noto, gli studi condotti su esseri umani nell’ambito della sperimentazione clinica mirano a scoprire o verificare gli effetti di medicinali sperimentali al fine di accertarne la sicurezza e l’efficacia. Tali studi vengono generalmente promossi da una società farmaceutica (il “promotore”) a livello nazionale e internazionale. Mentre in materia di proprietà intellettuale lo sponsor detiene la titolarità di tutti i risultati della sperimentazione e gli altri soggetti dello studio devono garantire l’assoluta riservatezza e sicurezza delle informazioni, in materia di protezione dati personali, invece, il promotore accede in modalità elettronica ai dati personali del paziente, rigorosamente in forma pseudonimizzata.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Lo ribadiscono le Linee guida del Garante per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali (24 luglio 2008): “Al fine di tutelare l’identità delle persone coinvolte nello studio la normativa prevede che il centro partecipante alla sperimentazione debba assegnare un codice di identificazione a ciascun interessato, al momento del suo coinvolgimento, e utilizzarlo al posto del relativo nominativo in ciascuna comunicazione al promotore di dati collegati allo studio (d.m. 15 luglio 1997, all. 1/1B punto 1.58 e all. 1/4B punto 4.11.1, v. anche art. 16, comma 5, d.lg. n. 211/2003).

Il promotore quindi non ha accesso diretto ai dati personali dei volontari arruolati nello studio, tuttavia è titolare al trattamento dei dati clinici epurati del nome e cognome del paziente. Fornisce all’interessato, attraverso la struttura ospedaliera, informativa art. 14 del GDPR e il consenso al trattamento dei dati personali, unito al consenso informato a partecipare allo studio clinico.

Il centro, ulteriore soggetto che partecipa allo studio clinico, è la struttura ospedaliera che ha in cura il paziente, anch’esso, come ribadito dalle Linee guida, titolare al trattamento. Il centro accede ai dati personali dei pazienti che, collezionati per finalità di diagnosi e cura, vengono messi al servizio della ricerca scientifica, per un particolare studio clinico appunto, previo consenso del paziente.

Il centro, al contrario del promotore, vede quindi i dati in chiaro dei propri pazienti, e li colleziona in ragione della propria competenza professionale, medica o tecnologica, come ad esempio le radiografie.

Soggetti residenti in Paesi extra-UE

“Inoltre – si legge ancora nelle linee guida – i promotori si avvalgono sovente di soggetti esterni (clinical study monitor, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.) che possono risiedere in Paesi anche al di fuori dell’Unione europea, per svolgere uno o più compiti relativi all’esecuzione della sperimentazione (ad es., il monitoraggio dello studio, l’inserimento, la validazione e l’analisi statistica dei dati, la farmacovigilanza, l’esecuzione degli esami clinici e di laboratorio previsti dal protocollo).

Ciò comporta che numerose informazioni o campioni biologici vengano condivisi tra diverse categorie di soggetti che possono accedervi o averne la disponibilità e che possono essere situati anche in Paesi terzi che non offrono un livello di protezione adeguato dei dati personali (il promotore; gli addetti al monitoraggio dello studio; i soggetti esterni che collaborano con il promotore per l´inserimento dei dati e il loro trattamento statistico; il laboratorio di analisi, ecc.)”.

Al centro di questo orbitante gioco di interessi e continuo rimpallo di dati personali c’è il vero e indiscusso proprietario dei dati: l’interessato.

Garanzie richieste dal GDPR

Il GDPR garantisce la tutela dell’interessato nell’esercizio dei suoi diritti. Tali diritti vengono esercitati perlopiù contattando il centro, in quanto se l’interessato esercitasse i suoi diritti presso il promotore, rivelerebbe direttamente la propria identità.

Non è prassi comune però, restituire al partecipante i risultati dello studio, inclusi i dati personali che lo riguardano. Il ricercatore Jeffrey R. Botkin, nel suo articolo Transparency and choice in learning healthcare systems, sostiene che i partecipanti, nel ricevere i risultati dello studio, potrebbero avere un “malinteso terapeutico” e credere erroneamente che la ricerca produrrà risultati che andranno a beneficio diretto della cura clinica individuale.

Inoltre la ricerca è concepita a beneficio della società, non degli individui e vi sono rischi associati alla restituzione ai partecipanti di risultati potenzialmente inesatti.

Eppure negli ultimi anni vi è un crescente consenso sul diritto dei cittadini ai propri dati personali, alla trasparenza e al processo decisionale clinico. Tale cambio di rotta porrebbe sfide difficili, come garantire la privacy, la sicurezza e l’interoperabilità dei dati personali degli studi clinici, mantenere la perfetta integrazione dei dati della sperimentazione clinica all’interno delle cartelle cliniche elettroniche, garantire processi e infrastrutture comuni.

Tali dati elettronici sono peraltro raggruppati in sistemi centralizzati, store difficilmente interoperabili, che hanno contribuito alla “cultura dei silos”. I silos di dati esistenti rendono complessa e difficile la restituzione dei dati clinici ai partecipanti allo studio.

Il progetto di ricerca Ducopod

Eppure, la logica di condividere un unico data-base, peraltro, è già ampiamente adottata. Infatti, “conclusa la fase della sperimentazione presso il centro, le medesime informazioni sono normalmente inserite dal promotore, direttamente o tramite soggetti esterni di cui si avvale, su un data-base unico attraverso il quale viene effettuato il controllo e la validazione dei dati e, successivamente, l’elaborazione statistica, con l’obiettivo di conseguire i risultati dello studio da documentare poi in un rapporto”.

Ricercatori, medici, ingegneri e giuristi da tutta Europa si sono riuniti in un progetto di ricerca chiamato DUCOPOD (Decentralized Universally Compliant Operability of Personal Online Data) per rispondere all’esigenza di conferire proprietà e controllo dei dati personali ai pazienti tramite decentralizzazione.

Il progetto si pone l’obiettivo di studiare delle unità di base decentralizzate possedute e controllate dai soggetti dello studio clinico, garantendo privacy, sicurezza e interoperabilità dei dati personali e rendendoli disponibili agli interessati attraverso app.

Attualmente non esiste un sistema decentralizzato per gestire i dati clinici tra i soggetti dello studio, compresi i volontari. I dati sono trasferiti, seppur nella maggior parte in modo sicuro e criptato, via email o attraverso il download dal sito web, da un silos all’altro. Pertanto, non si tratta solo di restituire i dati, ma di conservarli in un luogo privato, sicuro, interoperabile.

Non è utopia. Già nel 2016 la Commissione Europa ha finanziato progetti di ricerca che insistono sulla proprietà dei dati da parte del paziente e del volontario arruolato negli studi clinici.

Il progetto My Health Data

Il pionieristico progetto My Health My Data (MH-MD) ha lanciato “un nuovo modo di condividere informazioni mediche e responsabilizzare il loro proprietario principale, il paziente”. Ha utilizzato la blockchain per decentralizzare i dati sanitari e rendere i pazienti proprietari e responsabili del trattamento dei loro dati. Altri progetti europei seguono la stessa linea, come CUREX, SERUMS, FeatureCloud e PANACEA.

Attraverso il sistema che intende studiare il progetto, l’interessato dovrebbe poter dare e revocare il consenso in ogni momento. Dovrebbe poter stabilire chi può vedere cosa, pur senza compromettere l’intera conduzione dello studio e rispettando le Linee guida del Garante. Ad una lettura superficiale del progetto, potrebbe sembrare che il sistema possa limitare il margine d’azione del promotore e limitare il proprio legittimo interesse sui dati del volontario.

I diritti del paziente volontario

Innanzitutto è bene chiarire che il volontario ha già questo diritto: si tratterebbe di informatizzare e rendere più immediate le operazioni. Le Linee guida specificano che “dal momento che la partecipazione allo studio clinico è su base volontaria, gli interessati possono interrompere in ogni momento e senza fornire alcuna giustificazione la loro partecipazione allo studio” e “le persone partecipanti a sperimentazioni cliniche di medicinali possono esercitare in ogni momento i diritti, tra i quali quello di accedere ai dati che li riguardano e di ottenerne la comunicazione in forma intelligibile, ovvero l’integrazione, l’aggiornamento o la rettifica, rivolgendosi direttamente al centro di sperimentazione o, per il tramite del medico sperimentatore (che è a conoscenza della loro identità e, mediante l’accesso alla lista di identificazione, può individuare il codice identificativo di ciascun interessato), al promotore”.

Quest’ultimo, come pure il centro di sperimentazione, devono fornire senza ritardo all’interessato “un riscontro compiuto e analitico”, anche in formato elettronico.

Il progetto europeo DUCOPOD si pone l’obiettivo di analizzare l’istituto del Diritto alla portabilità dei dati. L’articolo 20 del GDPR, comma 1, dopo aver specificato che l’interessato “ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento”, specifica inoltre che “ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento”. Il punto fondamentale del sistema è che supererebbe la complessa questione del secondary use.

I vantaggi dell’approccio Ducopod

I promotori di uno studio clinico possono utilizzare lecitamente in future attività di studio e di ricerca i dati e i campioni biologici riconducibili a ciascuna delle persone coinvolte, anche avvalendosi dei soggetti esterni che hanno collaborato con essi per l’esecuzione della sperimentazione, a condizione che gli interessati ne siano stati previamente e adeguatamente informati e abbiano manifestato per iscritto un consenso specifico e distinto rispetto a quello manifestato per lo studio principale”.

In pratica, il consenso al trattamento deve essere richiesto per ogni differente finalità per cui i dati sono trattati. Anche il consenso informato alla partecipazione è richiesto per ogni differente studio clinico, previa approvazione di un comitato etico competente.

Tale sistema ridurrebbe quindi la distanza tra il paziente e lo sponsor, pur continuando a rimanere nell’anonimato. Contribuirebbe a prevenire i ritardi nella conduzione della ricerca clinica in Europa, ridurrebbe la duplicazione nelle procedure e nelle indagini, migliorerebbe la trasparenza e fornirebbe occasioni per ulteriori ricerche scientifiche, in particolare per le malattie rare, che richiedono l’arruolamento degli stessi pazienti per più studi clinici.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2