Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

EDPB commissione ue

Gdpr e trial clinici, le regole per il trattamento dati

Il Comitato Ue protezione dati (EDPB) pubblica un parere che punta a mettere ordine nei rapporti fra la General data protection regulation e la (non ancora adottata) Clinical Trials Regulation. Ecco gli snodi principali e gli aspetti da chiarire in vista di un frame omogeneo

22 Feb 2019

Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Gdpr e trattamento dei dati personali all’interno delle sperimentazioni cliniche: quali sono i punti di contatto? Come dovranno essere elaborati nel momento in cui sarà adottata la Clinical Trials Regulation?

Ecco una mappa delle ipotesi in campo alla luce della Opinion pubblicata dalla European Data Protection Board (EDPB), il Comitato Ue per la protezione dati.

Con la Opinion 3/2019[1] il Comitato Europeo per la Protezione dei Dati[2] è intervenuto cercando di “portare ordine” nei rapporti tra il Regolamento UE 2016/679 (GDPR – General Data Protection Regulation) e l’esordiente Regolamento UE 536/2014[3] (CTR – Clinical Trials Regulation), a poco meno di un anno dalla probabile entrata in scena di quest’ultimo.

Cos’è e quando è nato il Ctr

Per comprendere l’intervento del Comitato nella questione GDPR/CTR, è necessario partire proprio da una (minima) genesi di quest’ultimo. Il CTR, datato 2014, si propone di uniformare tutte le procedure connesse alle sperimentazioni cliniche di medicinali ad uso umano in Unione Europea, eliminando la burocrazia e puntando ad un approccio basato sul rischio e sulla trasparenza, il tutto a beneficio della ricerca scientifica comunitaria. Tuttavia, con una discesa in campo prevista per il 2016, a causa di diverse difficoltà[4] la disciplina unica è ancora in stand-by. Si attenderà l’anno prossimo per un suo probabile varo.

Ciò (velocemente) premesso, come facilmente intuibile, il CTR e – in generale – il mondo delle sperimentazioni cliniche di medicinali ad uso umano, è connesso con il mondo della protezione dei dati personali, capeggiato dal GDPR. Nel dettaglio, il CTR possiede alcuni “considerando” e diversi articoli che rimandano alla materia.

In particolare, il rimando è alla “Direttiva Madre” 95/46/CE, che il 25 Maggio 2018 cedette il passo al GDPR. Ed è proprio da questa “superata presenza” che la Commissione Europea l’8 ottobre 2018 ha chiesto al Comitato di esprimersi circa il rapporto tra CTR e GDPR[5], originando la Opinion in discussione. Inoltre lo stesso GDPR, ai considerando 156 e 161, fa riferimento alla normativa sui trial clinici; ciò sottolinea la naturale necessità di una lettura comune, poiché il CTR contiene delle specifiche che possono ricondursi nell’ambito GDPR.

Chiariti celermente i rapporti tra le due materie, entriamo nel merito della richiesta della Commissione Europea. In particolare quest’ultima chiede al Comitato di esprimersi in materia di basi giuridiche, consenso informato, revoca del consenso, informazioni sulla protezione dei dati, trasferimento di dati e utilizzi secondari dei dati raccolti per ulteriori finalità scientifiche. Il Comitato, da parte sua, ha deciso di impostare la Opinion in esame sulle basi giuridiche per utilizzo primario (primary use) e utilizzi secondari (secondary uses).

I punti di intervento del comitato europeo

Innanzitutto il Comitato definisce il perimetro dell’utilizzo primario, ossia: il trattamento dei dati personali che riguarda l’intera durata del protocollo di sperimentazione clinica, dall’inizio del trial – e quindi dalla raccolta dei dati personali – fino alla cancellazione, al termine del periodo di conservazione dei dati personali. Su questo punto il Comitato specifica, nelle note, che si tratta di una “interpretazione estensiva” di utilizzo primario, in quanto nella Opinion 3/2013[6] il già Working Party 29” (WP29)[7] statuì che per utilizzo primario dovesse intendersi la sola fase di raccolta dei dati, e che tutto ciò che le succedesse fosse configurabile come ulteriore trattamento.

Ritornando al problema delle basi giuridiche – riguardo al trattamento dei dati durante tutta la durata della sperimentazione clinica (utilizzo primario) – il Comitato distingue due categorie di attività di trattamento:

  • Le operazioni di trattamento che riguardano le finalità di protezione della salute, connesse all’affidabilità e alla sicurezza dei medicinali;
  • Le operazioni di trattamento che riguardano finalità di ricerca scientifica.
    1. Finalità di protezione della salute

Il Comitato afferma che le operazioni di trattamento connesse alla protezione della salute – e all’affidabilità e sicurezza dei medicinali – espressamente previste dal CTR e dalle disposizioni di legge nazionali, ricadono automaticamente nella base giuridica ex art. 6.1 lett. c) del GDPR (adempimento di un obbligo legale da parte del Titolare del trattamento).

Tuttavia già il WP29 nella Opinion 06/2014[8] statuì che la base giuridica in esame può essere applicabile a condizione che: l’obbligo sia imposto dalla legge; la legge soddisfi tutte le condizioni per rendere l’obbligo valido e vincolante; la legge rispetti la normativa in materia di protezione dei dati personali, compresi i requisiti di necessità, proporzionalità e limitazione delle finalità di trattamento; lo stesso obbligo giuridico sia sufficientemente chiaro; il Titolare del trattamento non abbia un livello eccessivo di discrezione su come rispettare l’obbligo giuridico in oggetto.

Inoltre il Comitato ritiene che ciò avvenga in particolare per quanto riguarda gli obblighi relativi agli “eventi avversi”, alle “reazioni avverse” e alla “relazione annuale del promotore” di cui agli articoli 41, 42 e 43 del CTR, nonché per quanto riguarda gli obblighi relativi all’archiviazione del fascicolo permanente della sperimentazione clinica (25 anni) e delle cartelle cliniche degli interessati, archiviate in conformità al diritto nazionale degli Stati Membri dell’Unione (art. 58 del CTR).

Base giuridica e dati particolari

Tuttavia il Comitato sdogana la base giuridica ex art. 9.2 lett. i) del GDPR per il trattamento dei dati particolari (ex sensibili), quando il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.

    1. Finalità di ricerca scientifica

Il Comitato ritiene che le operazioni di trattamento dei dati per finalità di ricerca scientifica non possono avere come base giuridica l’obbligo legale. Infatti è possibile utilizzare come base giuridica, in alternativa: il consenso esplicito dell’interessato (art. 6.1 lett. a del GDPR congiuntamente all’art. 9.2. lett. a del GDPR); l’esecuzione di un compito di interesse pubblico (art. 6.1 lett. e) del GDPR; ovvero l’interesse legittimo del Titolare del trattamento (art. 6.1 lett. f congiuntamente all’art. 9.2 lett. i) o j) del GDPR.

2.2.1) Il Consenso (esplicito) dell’interessato

Innanzitutto il Comitato cerca di “tracciare il solco” nella divisione (non sempre pacifica) tra i due consensi presenti in materia di trial clinici: il consenso informato alla sperimentazione clinica del CTR, e il consenso (esplicito) al trattamento dei dati personali in ambito GDPR.

Il Capo V del CTR declina il consenso informato alla sperimentazione clinica, e risponde ai requisiti previsti dalla consolidata Dichiarazione di Helsinki[9]. L’obbligo del consenso informato nell’ambito del trial clinico assicura la protezione del diritto alla dignità e all’integrità della persona, e non disciplina la protezione dei dati personali dell’individuo.

Il consenso al trattamento dei dati personali invece, deve essere libero, specifico, informato e inequivocabile nonché esplicito, per il trattamento dei dati particolari (ad es. quelli relativi la salute dell’interessato). Per rafforzare l’istituto, il Comitato consiglia ai Titolari del trattamento (ad es. i promotori degli studi) di seguire le prescrizioni previste dalle Linee Guida del WP29 in materia di consenso[10].

Inoltre, il Comitato consiglia ai Titolari del trattamento di porre particolare attenzione alla nozione di “consenso libero”, in quanto è necessario garantire che l’interessato abbia una reale libertà di scelta nonché una reale capacità di controllo sulle sue scelte (al pari di quanto accade con il consenso alla sperimentazione). E questo punto è tutt’altro che di facile esame. Infatti il Comitato ritiene che a volte ci possa essere uno “squilibrio di poteri” tra il promotore/investigator e l’interessato. Questo accade quando l’interessato versi in condizioni economiche/sociali svantaggiate, o si trovi in una situazione di dipendenza istituzionale o gerarchica che potrebbe influenzare impropriamente la sua decisione di partecipare allo studio. E se queste situazioni possono inficiare il consenso informato alla sperimentazione, lo stesso fanno con la libertà del consenso GDPR.

Può accadere, ad esempio, che il consenso non sia prestato liberamente quando l’interessato non si trova in buone condizioni di salute o non sia pienamente capace di intendere e di volere. Pertanto, nel caso in cui il consenso non possa essere prestato liberamente, il Comitato consiglia di orientarsi verso altre basi giuridiche. In particolare, il Comitato ritiene che i Titolari del trattamento dei dati debbano condurre un’indagine particolarmente approfondita ed una piena valutazione delle circostanze della sperimentazione clinica prima di optare sulla base giuridica del consenso.

2.2.2) Il diritto di Revoca del Consenso

Anche sul diritto di revoca, è necessario distinguere tra consenso alla sperimentazione e consenso al trattamento dei dati personali. Nel primo caso ci si riferisce all’art. 28.3 del CTR; nel secondo caso agli artt. 7.3 e 13.2 lett. c) del GDPR. Il Comitato precisa che il diritto di revoca del consenso – esperibile dall’interessato in qualsiasi momento senza pregiudicare la validità del trattamento prima della revoca – non ha nessuna eccezione in materia di ricerca scientifica. Nel contesto delle sperimentazioni cliniche, il consenso dell’interessato è limitato alle operazioni di trattamento dei dati meramente connesse alle attività di ricerca. Ciò implica che in caso di revoca del consenso, tutte le attività di ricerca svolte con i dati della sperimentazione clinica ad essa relativi cesseranno di produrre effetti, senza che però incida sulle operazioni di trattamento che si fondano su altre basi giuridiche (in particolare gli obblighi giuridici ai quali il promotore/investigator sono soggetti, come quelli relativi alla sicurezza).

2.2.3) Le alternative al Consenso: interesse pubblico e interesse legittimo

Il Comitato vede due alternative alla “centralità” del consenso.

  1. Il trattamento dei dati può essere considerato necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento (art. 6.1 lett. e del GDPR). Il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche può quindi essere considerato necessario per l’esecuzione di un compito di interesse pubblico quando l’esecuzione delle sperimentazioni cliniche rientra direttamente nel mandato, nelle mission e nei compiti che il diritto nazionale conferisce a un organismo pubblico o privato.
  2. In altri casi, il trattamento dei dati può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato […] (art. 6.1 lett. f del GDPR.

Tuttavia, per il trattamento dei dati particolari, la base giuridica di cui all’articolo 6 del GDPR si applica solo se l’articolo 9 del GDPR preveda una deroga specifica al divieto generale di trattare tali categorie di dati personali. Il Comitato ritiene che, a seconda delle circostanze specifiche di una sperimentazione clinica, le basi giuridiche applicabili ex art. 9 del GDPR potrebbero essere sia i “motivi di interesse pubblico nel settore della sanità pubblica” ex art. 9.2 lett. i) sia la “ricerca scientifica” ex art. 9.2 lett. j).

    1. Ulteriori finalità di trattamento

Il CTR affronta specificamente la questione degli utilizzi secondari di cui all’articolo 28.2 del CTR, con particolare attenzione al consenso alla sperimentazione. Il CTR si riferisce esclusivamente alle situazioni in cui il promotore dello studio elabora i dati personali dell’interessato dei trial clinici “al di fuori del campo di applicazione del protocollo”, ma solo – ed esclusivamente – per finalità di ricerca scientifica. Il CTR ritiene che il consenso alla sperimentazione clinica per questa specifica finalità di trattamento debba essere richiesto all’interessato o al suo legale rappresentante, qualora l’interessato non sia capace di intendere e di volere.

In ogni caso, come si sottolinea nella Opinion in oggetto, se un promotore o uno sperimentatore abbia necessità o volontà di utilizzare ulteriormente i dati personali raccolti per scopi scientifici, diversi da quelli definiti dal protocollo di sperimentazione clinica, sarebbe necessario una base giuridica specifica diversa da quella adoperata per l’utilizzo primario. La base giuridica prescelta negli utilizzi secondari può differire o meno dalla base giuridica impiegata per l’utilizzo primario.

Tuttavia, il Comitato ritiene che questo approccio escluda, in ogni caso, l’applicabilità della cosiddetta “presunzione di compatibilità” di cui all’articolo 5.1 lett. b) del GDPR. Questo articolo stabilisce che i dati ulteriormente trattati per ricerca scientifica non sono considerati a priori incompatibili con la finalità iniziale, a condizione che ciò avvenga conformemente alle disposizioni dell’articolo 89 del GDPR, che prevede garanzie e deroghe specifiche e adeguate in questi casi. In tal caso, il Titolare del trattamento potrebbe essere in grado, a determinate condizioni, di trattare ulteriormente i dati senza bisogno di una nuova base giuridica.

Per il momento, la presunzione di compatibilità, fatte salve le condizioni di cui all’articolo 89 del GDPR, non dovrebbe essere esclusa, in ogni caso, per gli utilizzi secondari dei dati della sperimentazione clinica, al di fuori del protocollo di sperimentazione per altri scopi scientifici.

In ogni caso, anche quando si applica la presunzione di compatibilità, la ricerca scientifica che utilizza i dati al di fuori del protocollo della sperimentazione clinica deve essere condotta nel rispetto di tutte le altre disposizioni applicabili in materia di protezione dei dati di cui all’articolo 28.2 del CTR. Pertanto il Titolare del trattamento non è considerato esente dagli altri obblighi previsti dalla normativa in materia di protezione dei dati, ad esempio per quanto riguarda la liceità, la correttezza, la trasparenza, la necessità e la proporzionalità, nonché la qualità dei dati.

Nota conclusiva

L’intervento del Comitato in materia di trial clinici ribadisce da un lato la necessità di (ri)pensare il rapporto con CTR-GDPR in maniera omogenea; dall’altro lato – anche grazie alla spinta propulsiva della Commissione Europea – si cerca di spingere in tutti i modi per il varo definitivo del CTR nel più breve tempo possibile. Vedremo, nel corso dell’anno (e oltre), quali frutti matureranno da queste azioni.

  1. Cfr. https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-32019-concerning-questions-and-answers-interplay_it
  2. Cfr. https://edpb.europa.eu/about-edpb/about-edpb_it
  3. Cfr. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32014R0536
  4. Cfr. https://www.aboutpharma.com/blog/2017/09/21/sperimentazione-bisognera-aspettare-regolamento-europeo/
  5. La stessa Opinion 3/2019 prende il nome di “Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation (GDPR)”.
  6. Cfr. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
  7. Cfr. https://www.agendadigitale.eu/sicurezza/il-nuovo-comitato-europeo-per-la-protezione-dei-dati-edpr-dopo-il-gdpr-compiti-e-poteri/
  8. Cfr. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
  9. Cfr. https://www.gimbe.org/pagine/986/it/dichiarazione-di-helsinki
  10. Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

@RIPRODUZIONE RISERVATA

Articolo 1 di 4