l'analisi

Biobanche e protezione dei dati: le norme da rispettare

La costituzione di una biobanca, per via della natura delicatissima delle attività ad essa connesse, deve rispondere a determinate prescrizioni normative e standard di qualità. Da queste esigenze nasce la recente norma UNI ISO 20387:2019, che va integrata con le prescrizioni del Gdpr. Ecco cosa comporta questo intreccio

07 Feb 2020
Valentino Notarangelo

Legal Officer - Privacy


La costituzione di una biobanca per la conservazione e l’utilizzo dei campioni biologici e dei dati associati è stata recentemente regolamentata nei requisiti dalla UNI ISO 20387:2019, che tuttavia va integrata con le prescrizioni del Regolamento UE 679/2016 (“GDPR”) e dei provvedimenti del Garante applicabili, limitatamente agli aspetti di trattamento dei dati.

Ci soffermeremo quindi di seguito su quelli che sono gli intrecci tra la nuova norma e gli adempimenti in materia di data protection connessi all’attività di biobanking.

Cos’è una biobanca

La Biobanca è una unità di servizio senza scopo di lucro, finalizzata alla raccolta, elaborazione, conservazione e distribuzione di campioni biologici umani e di dati ad essi collegati, per ricerca e diagnosi[1].

Essa rappresenta uno strumento utilissimo per favorire la ricerca e lo sviluppo di nuove terapie, per la comprensione delle modificazioni che avvengono nelle malattie, nonché una fonte preziosa di informazioni per la cura, la prevenzione e la diagnosi precoce.

La costituzione di una biobanca, per via della natura delicatissima delle attività ad essa connesse, deve rispondere a determinate prescrizioni normative e standard di qualità che ne garantiscano il corretto funzionamento, l’imparzialità, la presenza di tutti i requisiti e la tutela dei dati personali dei donatori.

È da queste esigenze che nasce la recente norma UNI ISO 20387:2019 che, partendo dalla ISO 9001:2015 (sino ad oggi utilizzata per garantire il sistema qualità delle attuali biobanche), è andata a disciplinare in modo specifico proprio il settore del “biobanking”. Tale nuova norma va ad indicare le modalità che devono essere seguite nelle diverse fasi di acquisizione e conservazione, unitamente alle attività relative a raccolta, preparazione, preservazione, prova, analisi e distribuzione, dei campioni e delle informazioni associate.

Sebbene, tuttavia, un sistema di gestione della qualità sia indispensabile per il “biobanking”, esso va integrato con adempimenti mirati alla protezione dei dati personali, individuati nelle prescrizioni specifiche del Regolamento Generale sulla Protezione dei Dati (UE) n.679/2016 (anche “GDPR”), nonché la normativa italiana di armonizzazione ed i Provvedimenti dell’Autorità Garante applicabili.

La norma UNI ISO 20387:2019 e i possibili intrecci con il GDPR

Come anticipato, la ISO 20387 specifica i requisiti generali di competenza, imparzialità e coerente funzionamento delle biobanche, inclusi i requisiti relativi al controllo qualità per garantire materiali biologici e dati associati di qualità appropriata[2].

La stessa norma, in apertura, precisa la propria finalità, ovvero quella di costituire per gli utenti, le autorità di regolamentazione, le organizzazioni, gli schemi che utilizzano la valutazione tra pari, gli organismi di accreditamento e altri, uno strumento per confermare o riconoscere la competenza di una biobanca.

Viene quindi operata una divisione dei requisiti in cinque macroaree:

  • Requisiti di carattere generale
  • Requisiti strutturali
  • Requisiti di risorse
  • Requisiti di processo
  • Requisiti del sistema di gestione della qualità

Riportare qui pedissequamente ogni singola previsione comporterebbe la mera elencazione dei requisiti, pertanto di seguito sono esposte solo alcune considerazioni riferite a ciascuna macroaree.

Requisiti di carattere generale

Viene subito in rilievo l’esigenza della biobanca di disporre di procedure ad hoc, adottate dopo un’opportuna pianificazione del sistema ed in linea con un’attività di valutazione di rischi e opportunità. Un rischio da identificare e minimizzare è relativo alle ipotesi in cui possa essere compromesso il primo requisito di carattere generale: l’imparzialità. La biobanca deve essere immune a qualsiasi pressione e muovere i propri passi seguendo la mission dichiarata ed in qualità di autonoma entità legalmente responsabile di tutte le sue attività.

Secondo requisito di carattere generale è quello della riservatezza che prevede molto genericamente un obbligo di protezione delle informazioni riservate e i diritti di proprietà dei fornitori/donatori, destinatari e utenti, in particolare durante la conservazione e la trasmissione dei dati. È qui che devono entrare in gioco, come vedremo nel prosieguo, la disciplina specifica del Regolamento Generale sulla Protezione dei Dati (UE) n.679/2016 e la normativa applicabile, le cui prescrizioni devono essere sempre tenute in considerazione nella redazione delle procedure richieste dalla ISO 20387 e nello svolgimento delle attività della biobanca.

Requisiti strutturali

Legato all’imparzialità è anche il requisito strutturale organizzativo.

La biobanca, infatti, deve definire la propria struttura di governance, specificando le responsabilità di ciascun ruolo, anche al fine di assicurare pianificazione, implementazione, manutenzione, monitoraggio e miglioramento del sistema di gestione della qualità. Nel modello di governance si suggerisce di far rientrare anche una figura, individuata dal titolare del trattamento, che sia referente privacy e che tenga costantemente sotto controllo il funzionamento ed il rispetto delle procedure in merito al trattamento dei dati.

Requisiti di risorse

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

I requisiti di risorse sono naturalmente riferiti sia al personale, sia a strutture / aree dedicate, attrezzature, sistemi di informazione e servizi di supporto necessari per eseguire il biobanking.

Le persone dedicate all’attività di biobanking dovranno essere continuamente sottoposte a formazione e ricevere istruzioni operative per la tipologia di attività svolta, in modo che il personale sia sempre dotato di un “orientamento appropriato per la biobanca”. La pianificazione dell’attività formativa deve basarsi su una valutazione periodica e regolare delle competenze di ciascuna risorsa, atta ad assicurare proprio l’appropriatezza sopra citata ed a colmare eventuali gap di competenza.

Anche con riferimento al trattamento dei dati vanno pianificate istruzioni operative e attività formativa, sia per la natura delicata e particolare dell’attività, sia per adempiere agli obblighi previsti dagli artt. 29 e 32.4 del GDPR (l’ordine non è casuale: in un’ottica di data protection sostanziale, la formazione va percepita prima di tutto come utilità ed opportunità per valorizzare l’attività e quindi come obbligo formale).

I requisiti di struttura, apparecchiature ed ambientali non consentono brevi considerazioni, ma sarebbe necessaria una disamina tecnica approfondita e non opportuna in questa sede. Si parta dal presupposto che la biobanca o la persona giuridica di cui fa parte determina, controlla e mantiene le strutture / aree dedicate per fornire le condizioni richieste per la conformità con i criteri di controllo qualità definiti, incluse le procedure per mantenere l’idoneità per lo scopo previsto, la biosicurezza e la biosicurezza del materiale biologico e dei dati associati.

Questi controlli si estendono anche a tutte le operazioni ed ai prodotti che sono forniti dall’esterno e, naturalmente, laddove un fornitore esterno abbia potenzialmente accesso al materiale biologico o ai dati associati, dovrà essere valutato e contrattualizzato anche ai sensi dell’art. 28 del GDPR, quale Responsabile del trattamento (es. fornitore software contenente i dati associati ai campioni).

Requisiti di processo

L’intera attività della biobanca deve rispettare il ciclo di vita del materiale biologico e dei dati associati. Tale ciclo, composto di fasi (quali ad esempio raccolta, adesione, acquisizione, identificazione, conservazione, conservazione a lungo termine, controllo di qualità, trasporto, smaltimento) è descritto nella pianificazione del processo e, di conseguenza, all’interno delle procedure ad esso connesse, messe a disposizione delle persone. Superfluo specificare che il tutto deve essere costantemente aggiornato e monitorato.

Senza entrare qui nel dettaglio delle singole fasi, risulta chiaro come sia di fondamentale importanza che nei requisiti di processo sia coinvolta anche una figura che si occupa di protezione dati, al fine di adeguare le procedure alla normativa applicabile e per disegnare una mappa di flusso del dato.

Molto interessante la previsione per cui la biobanca deve stabilire, documentare e attuare procedure per ricevere, valutare e prendere decisioni sui reclami.

In questo caso si prevede un intreccio con l’esercizio dei diritti degli interessati, disciplinato dagli artt. 15 e ss. del GDPR, che potrebbe dar luogo ad una procedura unica in cui vengano affrontati tutti gli aspetti relativi a reclami ed istanze degli interessati, passando per canali diversi, ma senza escludere la possibilità che vi siano richieste/reclami trasversali.

Requisiti del sistema di gestione della qualità

Anche in questo caso non risulta possibile essere esaustivi e citare ogni singola azione atta a soddisfare tali requisiti; si sottolinea genericamente la necessità che la biobanca sia in grado di assicurare la qualità dell’attività, attraverso valutazioni di rischi e opportunità, pianificazione del sistema, implementazione, monitoraggio e implementazione di azioni di miglioramento, la cui efficacia dovrà essere costantemente monitorata.

La nuova norma ISO 20387 tiene altresì a precisare che può essere considerata come opzione al sistema di gestione della qualità anche la conformità alla ISO 9001:2015, qualora la biobanca sia già certificata/accreditata secondo tali standard.

Anche con riferimento a questi requisiti, la figura deputata alla data protection della biobanca potrebbe pensare di agganciarsi al sistema qualità per lo svolgimento di audit volti a verificare il rispetto delle procedure, le possibili “non conformità” lato privacy, a monitorare l’efficacia delle misure di sicurezza adottate ed a riportare tutto in verbali propri, utili ai fini del rispetto del complesso principio di “accountability” e, ancor di più, per pianificare “azioni correttive”.

Ulteriori adempimenti per la conformità al GDPR e alla normativa applicabile

DPIA

Quanto sinora esposto risponde ai requisiti di una norma, la ISO 20387, recentissima e finalizzata a dimostrare la competenza dell’operatività della biobanca, la qualità dei suoi processi durante il ciclo di vita dei campioni e dei dati associati.

Il rispetto di tale norma può condurre verso l’accreditamento della biobanca, ma la conformità alla ISO 20387 non è garanzia del rispetto della normativa privacy vigente. Come già anticipato nel corso della trattazione, molti requisiti possono (dovrebbero) condurre ad azioni congiunte (vedi istruzioni al personale dedicato, formazione, redazione di procedure), a cui devono aggiungersi adempimenti mirati a garantire un livello di sicurezza adeguato al rischio, nell’ottica di un sistema di gestione integrato.

Compito degli addetti ai lavori sarà, prima dell’inizio dell’attività e quindi del trattamento, lo svolgimento della DPIA (Data Protecion Impact Assessment) ovvero di una valutazione d’impatto sulla protezione dei dati, prevista dagli artt. 35 e 36 GDPR, che costituisce lo strumento indispensabile per identificare e ridurre al minimo il rischio insito nel trattamento dei campioni e dei dati associati della biobanca. La DPIA si rende necessaria, nella fattispecie, per la natura del trattamento che presenta un rischio elevato per i diritti e le libertà degli individui, essendo oggetto di trattamento principalmente categorie particolari di dati, inclusi dati genetici.

Essendo la DPIA una procedura che consente di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali, la sua conduzione implica che si vadano a determinare, stimare ed approntare le misure di sicurezza organizzative e tecniche ritenute opportune per mitigare il rischio.

Con specifico riferimento all’attività di biobanca, essendo anche previsto il trattamento di dati genetici, sarà pertanto indispensabile prendere in considerazione le prescrizioni fornite dall’Autorità Garante nel Provvedimento n. 146 del 5 giugno 2019 (“Prescrizioni relative al trattamento dei dati genetici”). In particolare, sarà necessario tener conto di queste prescrizioni (come riportate per intero in nota[3]) nella scelta (o customizzazione) del software per la gestione dei dati associati ai campioni, da realizzare in casa o più probabilmente da acquistare presso fornitori esterni (i quali saranno soggetti a contrattualizzazione ai sensi dell’art. 28 GDPR, potendo accedere per manutenzione straordinaria).

Prima di procedere all’inizio dell’attività, svolgerà un ruolo di primo piano il Responsabile della protezione dei dati (DPO) nominato dalla struttura responsabile della biobanca (titolare del trattamento), al quale sarà sottoposta la DPIA realizzata, per un parere in merito alle misure di sicurezza adottate (ai sensi dell’art. 39 GDPR).

Trasparenza e consensi

Infine, conformemente a quanto indicato sia nella ISO 20387 sia soprattutto nella normativa privacy applicabile e nel rispetto del principio di trasparenza, è fondamentale riassumere tutta l’attività ed il ciclo di trattamento dei dati all’interno del documento informativo da sottoporre ai donatori che si intende “reclutare”.

Tale documento informativo, si badi bene, si compone di due parti che vanno tenute distinte, come precisato anche dall’EPDB (European Data Protection Board), nella opinion 3/2019:

  • Consenso informato all’attività di ricerca/sperimentazione (nel caso di specie per l’attività di “biobanking”)
  • Consenso al trattamento dei dati

Il primo funge da norma etica e da obbligo procedurale, descrivendo l’attività ed indicandone anche i potenziali benefici. In questo documento si potrà anche andare ad inserire, per informare i reclutati del percorso virtuoso, qualche pillola sulla conformità alla ISO 20387, o sulla certificazione ISO 9001.

Tale consenso tuttavia non “copre” il trattamento dei dati personali, la cui normativa prevede, ai sensi degli artt. 5, 12 e 13 GDPR, che il titolare adempia al proprio obbligo di trasparenza fornendo tutte le informazioni indicate all’art. 13 GDPR (per maggior approfondimento si rinvia alla consultazione della norma) e richiedendo il consenso quale base di liceità per porre in essere il trattamento.

Informativa e consenso al trattamento dei dati costituiscono un documento di non semplice redazione. Al suo interno vi è una sorta di riassunto di come vengono utilizzati i dati, le finalità e modalità del trattamento, i soggetti che li tratteranno, le misure di sicurezza adottate (tra tutte quella della pseudonimizzazione) e come poter revocare il consenso. In tale documento, inoltre, il titolare andrà a specificare anche eventuali comunicazioni a terzi, eventuali trasferimenti all’estero (e sue modalità e garanzie), entrando nel dettaglio del trattamento.

La difficoltà risiede nel comunicare tutte queste informazioni in modo semplice e chiaro, onde evitare che si tratti di un adempimento meramente formale: se così fosse si tradurrebbe in un documento inidoneo (e non conforme alla legge), ma, più d’ogni altra cosa, non si raggiungerebbe l’obiettivo sostanziale di spiegare ai soggetti reclutati l’attenzione che il titolare pone nel trattamento di dati così delicati.

Conclusioni

A giudizio di chi scrive, il modo migliore per avviare una biobanca è intrecciare i lavori sulla conformità alla ISO 20387 ed al GDPR (e ulteriore normativa privacy applicabile).
Concepire separatamente e senza punti di contatto le due normative porterebbe ad un lavoro doppio e disomogeneo, con riferimento alle procedure, alla individuazione delle misure di sicurezza appropriate, ecc.

Attraverso gli strumenti che le due normative forniscono agli addetti ai lavori, è possibile dotarsi di quanto necessario per tenere sotto controllo i fattori di rischio di un’attività che per sua natura è molto rischiosa, ma che rappresenta una risorsa indispensabile per lo sviluppo della medicina innovativa e di precisione, fornendo supporto scientifico, organizzativo e infrastrutturale per promuovere la ricerca traslazionale ed accelerare gli studi preclinici e clinici.

Indispensabile la trasparenza verso i soggetti da reclutare, che costituiscono il patrimonio e l’essenza stessa della biobanca. Ad essi deve essere trasmesso il messaggio nel modo più chiaro possibile.

Pertanto, responsabili delle biobanche, titolari del trattamento, comitati etici approvatori delle sperimentazioni non si limitino a fare luce sul biobanking attraverso documenti informativi farraginosi e complessi, che finirebbero per accecare di troppa luce i soggetti interessati.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Diversamente, loro compito – ognuno per la propria area di competenza – deve essere quello di semplificare, di scomporre la troppa luce in tutti i suoi colori, come un prisma di rifrazione, affinché i donatori per primi sviluppino la fiducia nel fenomeno del biobanking.

  1. BBMRI.it, https://www.bbmri.it/nodo-nazionale/biobanche/
  2. ISO 20387:2018
  3. Garante per la Protezione dei Dati Personali, Provvedimento n. 146 del 5 giugno 2019 (“Prescrizioni relative al trattamento dei dati genetici”), dove, al punto 4.2 nelle Prescrizioni Specifiche sui dati genetici, prevede che:a) l’accesso ai locali deve avvenire secondo una documentata procedura prestabilita dal titolare del trattamento, che preveda l’identificazione delle persone, preventivamente autorizzate, che accedono a qualunque titolo dopo l’orario di chiusura. Tali controlli possono essere effettuati anche con strumenti elettronici. È ammesso l’utilizzo dei dati biometrici con riguardo alle richiamate procedure di accesso fisico, nel rispetto dei principi in materia di protezione dei dati personali e dei requisiti specifici del trattamento di cui all’art. 9 del Regolamento;b) la conservazione, l’utilizzo e il trasporto dei campioni biologici sono posti in essere con modalità volte anche a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità;c) il trasferimento dei dati genetici, con sistemi di messaggistica elettronica ivi compresa la posta, è effettuato con le seguenti cautele: trasmissione dei dati in forma di allegato e non come testo compreso nel corpo del messaggio; cifratura dei dati avendo cura di rendere nota al destinatario la chiave crittografica tramite canali di comunicazione differenti da quelli utilizzati per la trasmissione dei dati; ricorso a canali di comunicazione protetti, tenendo conto dello stato dell’arte della tecnologia utilizzata; protezione dell’allegato con modalità idonee a impedire l’illecita o fortuita acquisizione dei dati trasmessi, come una password per l´apertura del file resa nota al destinatario tramite canali di comunicazione differenti da quelli utilizzati per la trasmissione dei dati. E’ ammesso il ricorso a canali di comunicazione di tipo “web application” che prevedano l’utilizzo di canali di trasmissione protetti, tenendo conto dello stato dell’arte della tecnologia, e garantiscano, previa verifica, l’identità digitale del server che eroga il servizio e della postazione client da cui si effettua l’accesso ai dati, ricorrendo a certificati digitali emessi in conformità alla legge da un’autorità di certificazione;

    d) la consultazione dei dati genetici trattati con strumenti elettronici è consentita previa adozione di sistemi di autenticazione basati sull’uso combinato di informazioni note ai soggetti all’uopo designati e di dispositivi, anche biometrici, in loro possesso;

    e) i dati genetici e i campioni biologici contenuti in elenchi, registri o banche di dati, sono trattati con tecniche di cifratura o di pseudonimizzazione o di altre soluzioni che, considerato il volume dei dati e dei campioni trattati, li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità, in modo da ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato. Laddove gli elenchi, i registri o le banche di dati siano tenuti con strumenti elettronici e contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati, le predette tecniche devono consentire, altresì, il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali che permettono di identificare direttamente le persone interessate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3