Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

operatori sanitari

Privacy e sperimentazioni cliniche: il vademecum (tra linee guida del Garante e Gdpr)

Un piccolo vademecum per l’aggiornamento professionale degli operatori del settore delle sperimentazioni cliniche sulla base delle novità del Gdpr. Tutto ciò che c’è da sapere su trattamento dati, consenso e diritti, trasferimento dei dati all’estero, sicurezza del trattamento e data breach

30 Apr 2019

Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


A undici anni dalle Linee Guida del Garante Privacy in materia, e a quasi dodici mesi dall’applicazione del GDPR, il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche ha subito alcuni cambiamenti. E’ quindi opportuno un piccolo vademecum per l’aggiornamento professionale degli operatori del settore.

Le Linee Guida del Garante Privacy del 24 luglio 2008[1] rappresentano un autentico punto di riferimento per il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche. D’altro canto però – nonostante la loro pregevole fattura tecnico-giuridica – è necessario metterle a confronto con il GDPR, in attesa di un intervento innovativo ad hoc del Garante Privacy. Di seguito, le principali novità che ripercorrono, nella struttura e nel contenuto, le Linee Guida del 24 luglio 2008.

Natura dei dati e pseudonimizzazione

Secondo le Linee Guida del 24 luglio 2018, nell’ambito delle sperimentazioni cliniche i promotori dello studio hanno l’obbligo di codificare i dati personali e particolari (ex sensibili) appartenenti ai partecipanti allo studio interessati, per una loro maggiore tutela. Il GDPR – entrato in vigore il 24 maggio 2016 e applicato dal 25 maggio 2018 – ha introdotto la misura della pseudonimizzazione, che permette di proseguire “logicamente” col meccanismo della codificazione presente nelle Linee Guida.

Ai sensi dell’art. 4 n. 5) del GDPR la pseudonimizzazione è il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Come descritto nelle Linee Guida, sono gli stessi medici sperimentatori che provvedono a pseudonimizzare i dati medico/clinici delle persone coinvolte nello studio, mediante codici numerici che consentono di identificare univocamente i singoli interessati all’interno dello stesso studio, senza utilizzare il nominativo, l´indirizzo o numeri di identificazione personale. Inoltre, come specifica il Garante, alcuni promotori stabiliscono nel protocollo dello studio che i medici sperimentatori debbano registrare sulle schede raccolta dati le iniziali del nome e cognome dei singoli individui partecipanti, oltre ai rispettivi codici identificativi; altri protocolli, invece, possono prevedere che i medici sperimentatori raccolgano informazioni ulteriori rispetto ai dati medico/clinici riferiti agli interessati, quali dati di carattere demografico (data di nascita e/o età, sesso, origine etnica, peso e statura) o relativi alla storia medica dei soggetti, agli stili di vita o alla vita sessuale[2].

Tra l’altro, il considerando 26 del GDPR afferma che debba essere auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile […]. Per cui gli stessi dati personali pseudonimizzati possono sempre portare all’identificazione di una persona: e qui risiede la differenza con l’anonimizzazione, che – in assenza del meccanismo di codificazione/decodificazione – non permette l’identificazione dell’interessato[3].

Nell’ambito delle sperimentazioni cliniche, il promotore (o sponsor) affida lo svolgimento e il monitoraggio di uno studio clinico ad un “monitor” o CRA – Clinical Research Associate. Il monitor segue la sperimentazione per conto del promotore[4], visitando i centri coinvolti nello studio e interagendo attivamente con i medici sperimentatori. Ma come si concilia con le misure di sicurezza, e in primo luogo con la pseudonimizzazione?

Da un lato il promotore non può identificare il partecipante allo studio (i dati che tratta sono pseudonimizzati), dall’altro il monitor – che ha accesso a tutta la documentazione sanitaria originale dei partecipanti (per verificare l´accuratezza e la completezza dei dati), nonché alla lista contenente i loro dati personali (per controllare le procedure riguardanti l’acquisizione del consenso informato) – segue lo studio clinico sotto la stretta osservazione dei medici sperimentatori, perseguendo una rilevazione (o visualizzazione) dei dati personali senza registrazione o conservazione (che potrebbero inficiare lo stesso meccanismo garantista della pseudonimizzazione).

I soggetti del trattamento

Nell’ambito delle sperimentazioni cliniche è fondamentale, anche alla luce di quanto disposto dal GDPR, delineare “gli ambiti di competenza” in materia di protezione dei dati personali.

A titolo informativo, e per meglio individuare il “soggetto privacy”, è utile riprendere le definizioni di Titolare e Responsabile del trattamento ai sensi dell’art. 4 (nn. 7 e 8) del GDPR:

  • Il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
  • Il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Inoltre, “new entry” del GDPR è la figura del Contitolare del trattamento, disciplinata dall’art. 26 del GDPR: “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. […]”

Per tracciare il solco che separa i tre soggetti, è necessario individuare chi determina (congiuntamente o meno) le finalità e le modalità del trattamento, e chi tratta i dati per conto del titolare del trattamento.

Nelle Linee Guida del 24 luglio 2008 il Garante afferma che il promotore, prima dell´avvio della sperimentazione, identifica i possibili centri partecipanti verificandone l´idoneità e il relativo interesse; predispone il protocollo da osservare nel corso dello studio; quindi, impartisce ai centri le necessarie direttive sul trattamento dei dati, ivi compresi i profili relativi alla loro custodia e sicurezza, nonché le istruzioni relative alle modalità di utilizzo dei sistemi informativi eventualmente previsti, e, se necessario, forniti al centro; verifica poi, a mezzo di propri collaboratori, l´osservanza del protocollo e delle proprie procedure interne da parte del centro; predispone i documenti da impiegare per informare le persone partecipanti e per ottenerne il consenso anche per ciò che riguarda il trattamento dei dati che li riguardano; infine, avverte i centri quando non è più necessario conservare la documentazione relativa allo studio. Inoltre il Garante afferma che il promotore non effettua, quindi, alcuna attività di raccolta diretta dei dati, né può interloquire con gli individui inclusi nella sperimentazione; compiti, questi, spettanti ai medici sperimentatori. Tuttavia, il promotore acquisisce, come detto, in diverse ipotesi i dati [pseudonimizzati] dei pazienti raccolti dai centri e sugli stessi effettua diverse operazioni di trattamento; tramite i propri collaboratori addetti al monitoraggio esamina, infatti, presso i centri le informazioni contenute nella documentazione medica originale e nella lista di identificazione delle persone coinvolte nello studio; è destinatario dei dati registrati da ciascun centro sulle schede raccolta dati e sulle segnalazioni di reazioni e eventi avversi; ne cura direttamente, ovvero tramite soggetti esterni ai quali può demandare alcuni o tutti i compiti in materia di sperimentazione, il loro inserimento sul data-base, nonché il controllo, la validazione e la successiva elaborazione statistica dei dati al fine di conseguire i risultati dello studio.

Il Garante, tirando le somme, da un lato rileva che il centro sperimentatore non è assoggettato a vincoli di subordinazione nei confronti del promotore, poiché il centro accetta il protocollo concordandone con lo stesso promotore alcuni aspetti: formulazione del consenso informato alla sperimentazione; esecuzione della sperimentazione con propria autonomia organizzativa; esecuzione della sperimentazione con collaboratori che ritiene idonei e per i quali è responsabile; somministrazione di informazioni sul trattamento dei dati e acquisizione del relativo consenso; autorizzazione ai collaboratori del promotore affinché accedano alla documentazione medica originale dei soggetti coinvolti per svolgere le attività di monitoraggio; gestione e custodia della documentazione. Dall’altro, il Garante rileva che i singoli centri di sperimentazione e i promotori hanno in genere responsabilità distinte nell’ambito degli studi clinici e si configurano, quindi, quali autonomi titolari o, a seconda dei casi, contitolari del trattamento (se determinano congiuntamente le finalità e modalità del trattamento).

In ogni caso è necessario che il promotore e il/i centro/i di sperimentazione sottoscrivano un (possibilmente autonomo) accordo sul trattamento dei dati, ottemperando a quanto disposto dal GDPR (per un accordo di contitolarità, rifarsi integralmente a quanto disposto dall’art. 26 del Regolamento). Oltre all’accordo, promotore e centri di sperimentazione devono garantire – prendendo in prestito quanto disposto dall’art. 28.3 lett. b) del GDPR – che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. In ogni caso il promotore e i centri di sperimentazione individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta (art. 2-quaterdecies del Codice Privacy).

Infine, il Garante, nelle Linee Guida del 24 luglio 2008, dispone che la trasmissione dei dati dello studio da parte dei centri di sperimentazione ai promotori configura una vera e propria “comunicazione” di dati e un trattamento di dati da parte di terzi, i quali vanno indicati nominativamente e distintamente nelle informazioni sul trattamento dei dati personali.

Oltre al rapporto promotore-centro di sperimentazione, sussistono altri soggetti che rilevano o possono rilevare in ambito di protezione dei dati personali. Tutto varia al variare delle tipologie di trattamento e della natura dei dati personali presi in considerazione.

In alcuni casi, il promotore può avvalersi di un’organizzazione dedita all’esecuzione di uno o più compiti legati alla specifica sperimentazione clinica. Il rapporto tra promotore e tale organizzazione (CRO – Clinical Research Organization) è disciplinato da un contratto. Anche qui, come nel rapporto tra promotore e centro di sperimentazione è necessario disciplinare il trattamento dei dati personali. Il rapporto tra promotore e CRO in ambito privacy può essere disciplinato da un contratto o atto vincolante che vincoli entrambi, rispettivamente, come titolare e responsabile del trattamento, ai sensi dell’art. 28 del GDPR. La valutazione circa la “nomina” come responsabile del trattamento (conosciuto anche come “esterno”) – ovvero il riconoscimento del reciproco “status” di titolare del trattamento / contitolari del trattamento – deve essere da entrambi ponderata ed adattata al caso concreto. Il responsabile del trattamento infatti, oltre a non poter determinare le finalità e modalità del trattamento, è subordinato al titolare del trattamento. A titolo di esempio, il responsabile del trattamento deve:

  • Trattare i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • Assistere il titolare del trattamento al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  • Assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli
  • da 32 a 36 del GDPR (Sicurezza del trattamento, Data Breach, Valutazione di Impatto);
  • Mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni.

Determinato il rapporto “caso per caso” tra promotore e CRO, si analizza celermente il ruolo dei CRA – Clinical Research Associate (o monitor) e dei CRC – Clinical Research Coordinator (o Data Manager). Le differenze più rilevanti tra i due soggetti persone fisiche sono le seguenti:

  • Il CRA presta generalmente la sua attività per il promotore – ovvero per la CRO incaricata dal promotore – e si occupa della conduzione di uno studio clinico, spostandosi da un centro di sperimentazione all’altro e “monitorando” concretamente l’attività di competenza;
  • Il CRC, invece, presta generalmente la sua attività per il centro sperimentatore e si occupa, ad esempio, della compilazione dei documenti, della gestione dei partecipanti allo studio, della raccolta dei report ecc.

CRA e CRC operano – essenzialmente – come soggetti designati (o autorizzati) dal titolare o dal responsabile del trattamento. L’art. 2-quaterdecies del Codice Privacy – D. Lgs. 196/2003 – disciplina tale soggetto:

  • Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
  • Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

In ogni caso il Garante, nelle Linee Guida del 24 luglio 2008, raccomanda che i soggetti che, in quanto collaboratori dei promotori, accedono ai dati personali delle persone incluse nello studio per le finalità della sperimentazione devono essere inoltre menzionati, anche per categorie, nelle informazioni sul trattamento dei dati personali da fornire agli interessati.

Sempre il Garante afferma che diversamente, qualora i promotori ritengano, in base alla legge, di non poter designare i soggetti esterni di cui si avvalgono quali [responsabili del trattamento], in quanto i ruoli svolti da questi non possono essere ricondotti alle predette figure previste dal Codice [o dal GDPR], il flusso delle informazioni riferite agli individui partecipanti di cui siano eventualmente destinatari tali collaboratori costituirebbe una comunicazione di dati personali che potrebbe essere effettuata lecitamente in presenza del consenso specifico e informato degli interessati o di altro presupposto equipollente. Analoghe cautele devono essere adottate dai centri di sperimentazione nel caso in cui essi demandino attività o parti di attività inerenti agli studi clinici a soggetti esterni quali, ad esempio, laboratori di analisi.

Infine il Garante afferma che i promotori devono prestare, comunque, particolare attenzione nella scelta dei soggetti [del trattamento] ad alcune o tutte le mansioni inerenti alle sperimentazioni di farmaci, specie con riferimento al monitoraggio dello studio, assicurandosi che essi possiedano requisiti di esperienza, capacità e affidabilità tali da fornire idonee garanzie del pieno rispetto delle istruzioni da impartire e delle regole di riservatezza e confidenzialità previste dalla disciplina in materia di protezione di dati personali e dalle disposizioni di settore. Gli addetti al monitoraggio (CRA-CRC) devono essere sottoposti a regole di condotta analoghe al segreto professionale. Il loro processo di designazione deve prevedere la frequenza di una specifica attività formativa concernente l’illustrazione dei rischi e delle responsabilità derivanti dal trattamento di queste informazioni, le istruzioni da rispettare per la loro custodia e sicurezza, nonché le regole di riservatezza e confidenzialità previste dalle disposizioni normative applicabili e le specifiche precauzioni da utilizzare per tutelare l’identità degli interessati anche nei riguardi dello stesso promotore.

Informazioni sul trattamento dei dati

Le informazioni sul trattamento dei dati personali rappresentano una delle colonne portanti del GDPR, in quanto il partecipante allo studio clinico deve avere assoluta contezza circa i suoi dati personali, i diritti che egli possiede su di loro e il loro esercizio nei confronti del Titolare o Responsabile del trattamento.

Nelle Linee Guida del 24 luglio 2008, il Garante afferma che […] alcuni promotori invitano i centri a informare i pazienti interessati che i dati che li riguardano saranno trasmessi dal medico dello studio a chi lo ha commissionato esclusivamente in forma anonima. Questa indicazione, oltre a essere erronea, non consente alle persone interessate di comprendere quali siano i ruoli effettivamente svolti dal promotore e dagli altri soggetti, della cui collaborazione questo eventualmente si avvalga, riguardo al trattamento dei dati. [Così formulate, le informazioni sul trattamento dei dati personali sono inidonee]; non [permettono] altresì agli interessati di esprimere una volontà consapevole riguardo al fatto che i trattamenti effettuati presso il promotore o i soggetti che con esso eventualmente collaborano (anche al di fuori del territorio nazionale) concernono informazioni che, seppure codificate, come sopra evidenziato, sono riconducibili ai medesimi interessati. [Le informazioni] da fornire agli interessati tramite i centri di sperimentazione [devono] invece comprendere, anche con formule sintetiche, ma pur sempre agevolmente comprensibili, indicazioni specifiche relative a:

  • la natura dei dati trattati dal promotore e la circostanza che tali dati vengono trasmessi all’estero;
  • il ruolo effettivamente svolto dal promotore riguardo al trattamento dei dati e le finalità e modalità di quest’ultimo;
  • i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di incaricati o di responsabili;
  • l’esercizio del diritto d’accesso e gli altri diritti in materia di dati personali nei confronti del promotore e degli altri soggetti eventualmente destinatari dei dati.

Con la transizione al GDPR è utile ribadire quelle che sono le novità in tema di trasparenza ed informazioni sul trattamento dei dati personali.

In base all’art. 12 del GDPR è necessario:

  • Utilizzare un linguaggio semplice e chiaro con una forma intellegibile, ossia comprensibile “dall’uomo medio” e, quindi, dalla maggior parte dei partecipanti allo studio.
  • Utilizzare una forma concisa, che incoraggi il partecipante allo studio alla lettura;
  • Utilizzare una forma trasparente. Si faccia in modo che ciò che è contenuto nelle informazioni sul trattamento dei dati personali rispondano alla realtà;
  • Utilizzare una forma facilmente accessibile. Valutare la possibilità di informazioni sul trattamento dei dati “multiple”, se del caso.

In base all’art. 13 del GDPR, le informazioni sul trattamento dei dati personali devono contenere:

  • L’identità e i dati di contatto del Titolare del trattamento (sempre aggiornati);
  • Ove presente, i dati di contatto del Responsabile della Protezione dei Dati Personali (DPO – Data Protection Officer)[5].
  • Le finalità del trattamento. Inserire le finalità che effettivamente si perseguono nello studio clinico per il trattamento dei dati personali.
  • La base giuridica del trattamento. Si veda il punto successivo.
  • I destinatari del trattamento, ossia la persona fisica, giuridica, autorità pubblica o organismo riceve comunicazione dei dati personali. Si può far riferimento a soggetti interni (es. CRC/CRA), o soggetti esterni che effettuano trattamenti per conto del promotore / centro di sperimentazione (es. CRO) ovvero Enti pubblici. In ogni caso è necessario specificare almeno la categoria di riferimento dei destinatari.
  • Il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali. In questo caso se vi fosse necessità (ed intenzione) di trasferire alcuni dati verso paesi terzi (ad es. extra UE) o organizzazioni internazionali è necessario farne menzione. È, inoltre, necessario inserire la presenza o l’assenza di decisioni di adeguatezza della Commissione Europea.
  • Il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo. È importante quanto meno stimare uno o più periodi di conservazione per le diverse tipologie di dati trattati (anagrafici, salute, genetici ecc.). Importante: la conservazione dei campioni raccolti può seguire tempistiche diverse sia dalla conservazione dei dati personali, sia dalla documentazione dello studio clinico. In particolare, le Linee Guida del 24 luglio 2008 dispongono che i dati devono essere conservati presso i soggetti esterni che eventualmente collaborano con il promotore per la gestione e l’analisi statistica, per il solo periodo di tempo non superiore a quello necessario per definire il rapporto finale della sperimentazione o pubblicare i risultati dello studio. Inoltre, i promotori di uno studio clinico possono utilizzare lecitamente in future attività di studio e di ricerca i dati e i campioni biologici riconducibili a ciascuna delle persone coinvolte, anche avvalendosi dei soggetti esterni che hanno collaborato con essi per l´esecuzione della sperimentazione, a condizione che gli interessati ne siano stati previamente e adeguatamente informati e abbiano manifestato per iscritto un consenso specifico e distinto rispetto a quello manifestato per lo studio principale.
  • I diritti sui dati personali, esercitabili dal partecipante allo studio senza alcuna formalità e gratuitamente (salvo richieste reiterate, eccessive o infondate); è necessario ottemperare alle richieste senza ingiustificato ritardo, al massimo entro un mese dal ricevimento delle stesse (prorogato di due mesi in caso di richieste numerose o complesse). Infine si risponde, ove possibile, alle richieste nella stessa loro forma: a richieste cartacee si risponde in maniera cartacea, a richieste elettroniche si risponde in maniera elettronica.

Il Garante afferma inoltre che nelle ipotesi in cui lo studio preveda il trattamento di informazioni genetiche (ad esempio, nelle indagini farmacogenetiche o farmacogenomiche) tali elementi devono essere integrati da indicazioni chiare in ordine a profili specifici dell’utilizzo di dati genetici e di campioni biologici […].

Infine il Garante afferma che deve essere cura dei centri di sperimentazione garantire che il personale coinvolto nelle sperimentazioni cliniche e, in particolare, nei colloqui preliminari volti all’acquisizione del consenso informato, sia formato adeguatamente anche sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, in modo da essere in grado di spiegare accuratamente e con completezza agli interessati gli elementi essenziali riguardanti il trattamento dei dati. I promotori, nell’individuare i centri presso i quali condurre sperimentazioni cliniche, devono verificare l’adeguatezza del personale del centro a gestire tale procedura predisponendo, ove necessario, appositi interventi formativi. Il profilo della formazione andrebbe considerato anche dai comitati etici nelle valutazioni relative all’idoneità del medico sperimentatore e dei suoi collaboratori.

I diritti e il loro esercizio

I partecipanti alle sperimentazioni cliniche possono esercitare in ogni momento i diritti relativi al trattamento dei loro dati personali.

Ai sensi dell’art. 15 del GDPR il partecipante allo studio ha il diritto di ottenere (gratuitamente) dal Titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nelle informazioni sul trattamento dei dati personali[6].

Ai sensi dell’art. 16 del GDPR il partecipante allo studio ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.

Ai sensi dell’art. 17 del GDPR il partecipante allo studio ha il diritto alla cancellazione dei suoi dati nel caso che (a suo avviso) non siano più necessari rispetto alle finalità di raccolta;

  • nel caso revochi il suo consenso e manchino altre basi giuridiche valide; nel caso il partecipante allo studio si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso;
  • nel caso i dati siano trattati illecitamente da parte del Titolare del trattamento;
  • nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il Titolare del trattamento.

In tutti questi casi il Titolare del trattamento dovrà procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo.

Non si applica il diritto alla cancellazione quando:

  • vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investito il Titolare del trattamento;
  • non si applica quando vi sono motivi di interesse pubblico nel settore della sanità pubblica (es. trattamento necessario per finalità di medicina preventiva, medicina del lavoro, diagnosi, assistenza, terapia sanitaria ecc.);
  • non si applica per fini di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi;
  • ed infine non si applica per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria (art. 24 Cost.)[7].

Ai sensi dell’art. 18 del GDPR il partecipante allo studio ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando:

  • contesta l’esattezza dei dati personali;
  • il trattamento è illecito;
  • il partecipante allo studio ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché il Titolare del trattamento non abbia più bisogno di questi dati;
  • infine, quando l’interessato si oppone al trattamento dei suoi dati.

Ai sensi dell’art. 20 del GDPR[8] il partecipante allo studio ha il diritto alla portabilità dei suoi dati, ossia di ricevere dal Titolare del trattamento i dati personali che lo riguardano, e ha il diritto di chiedere al medesimo di trasmetterli ad altro Titolare del trattamento. Il Titolare del trattamento deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Il partecipante allo studio può esercitare il diritto alla portabilità dei suoi dati a due condizioni:

  • che vi sia la presenza di una base giuridica in alternativa tra consenso e contratto;
  • che il trattamento sia effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea). Chiaramente l’esercizio del diritto alla portabilità non pregiudica altri diritti (ad esempio, non pregiudica il diritto alla cancellazione ex art. 17 del GDPR).

Infine, ai sensi dell’art. 21 del GDPR il partecipante allo studio ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse del Titolare del trattamento.

Le informazioni sul trattamento dei dati personali devono, inoltre, contenere la possibilità che il partecipante allo studio revochi il suo consenso in qualunque momento (e senza motivazioni). In questo caso è lecito il trattamento effettuato prima della revoca del consenso. Inoltre, il consenso deve poter essere revocato con la stessa facilità con la quale è prestato, quindi il Titolare del trattamento deve agevolare tale esercizio.

Le informazioni sul trattamento dei dati personali devono contenere il diritto di proporre reclamo presso un’Autorità di Controllo. Sarebbe utile inserire nelle informazioni sia i dati web e/o di contatto del Garante Privacy, sia delle altre autorità di controllo dell’Unione Europea.

Le informazioni sul trattamento dei dati personali devono specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se il partecipante allo studio ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione.

Infine, le informazioni devono specificare se è in atto un processo decisionale automatizzato (art. 22 del GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.

In ogni caso, se il Titolare del trattamento avesse necessità di trattare ulteriormente i dati personali dei partecipanti allo studio per un’ulteriore finalità, sarà necessario che il Titolare informi gli interessati in merito a questo ulteriore trattamento.

Consenso al trattamento dei dati

Nel mondo delle sperimentazioni cliniche i professionisti del settore devono provvedere alla stesura ed alla somministrazione di tue tipologie di consenso, generalmente predisposti dai promotori ed approvati dai comitati etici[9]:

  • Consenso informato alla sperimentazione clinica[10];
  • Consenso al trattamento dei dati personali.

Nelle Linee Guida del 24 luglio 2008 è specificato che il promotore e i suoi eventuali collaboratori non possono utilizzare lecitamente i dati personali degli individui partecipanti allo studio clinico se non provvedono ad acquisire previamente dagli interessati, tramite i centri di sperimentazione, idonee e specifiche manifestazioni di consenso riguardo ai trattamenti di dati da essi effettuati […].

Sempre il Garante Privacy afferma che particolare attenzione deve essere prestata anche alle modalità con cui il consenso degli interessati viene acquisto, specie quando si tratta di persone che, per il loro particolare stato di vulnerabilità, sono suscettibili di essere sottoposti a forme di coercizione o influenza tali da ostacolare la libera espressione del loro consenso. Si pensi a pazienti affetti da malattie incurabili o in situazioni di emergenza, a persone indigenti o ospitate nelle case di riposo o, ancora, ad appartenenti a gruppi “strutturati gerarchicamente”, come gli studenti di medicina, il personale subordinato di un ospedale o di un laboratorio, i dipendenti di una società farmaceutica, ecc. In tali casi […] è opportuno utilizzare procedure per acquisire il consenso informato degli interessati che non si limitino ad approcci meramente formali e individualizzati con i singoli individui, organizzando, ad esempio, momenti di confronto con la generalità o con gruppi di partecipanti, o coinvolgendo le associazioni, anche locali, di pazienti interessati.

Vi è da sottolineare che anche se il GDPR ha introdotto un novero eterogeneo di basi giuridiche che permettono di trattare lecitamente i dati personali[11], il consenso del partecipante allo studio rimane – a parere di chi scrive – la base giuridica per eccellenza nell’ambito delle sperimentazioni cliniche. La tematica verrà approfondita in occasione dell’adozione delle misure di garanzia, previste dall’Art. 2-septies del Codice Privacy, da parte del Garante Privacy.

In attesa di un intervento del Garante Privacy in materia, esaminiamo il consenso al trattamento dei dati nell’ambito delle sperimentazioni cliniche.

L’Art. 7 del GDPR dispone che:

  • Il Titolare del trattamento deve dimostrare (principio di responsabilizzazione o accountability[12]) che il partecipante allo studio abbia prestato il proprio consenso al trattamento dei dati personali;
  • Ad ogni finalità del trattamento deve esserci un autonomo consenso;
  • Il consenso deve essere comprensibile, facilmente accessibile, con linguaggio semplice e chiaro e chiaramente distinguibile da altre materie (e finalità);
  • Il consenso è revocabile con la stessa facilità con la quale è prestato, in qualsiasi momento;
  • La revoca del consenso non pregiudica il trattamento posto in essere sino ad allora;
  • Il consenso è sempre informato (e le informazioni sul trattamento devono essere a norma);
  • Il consenso deve essere esplicito (art. 9.2 lett. a del GDPR – ad esempio con dichiarazione scritta o elettronica).

Trasferimento dei dati all’estero

In ambito di sperimentazioni cliniche, il trasferimento all’estero dei dati è tutt’altro che una rarità. Infatti, studi di grandi dimensioni ed importanza, che legano diversi soggetti a livello internazionale, comportano la possibilità di un trattamento di dati all’esterno dell’Unione Europea (UE) / Spazio Economico Europeo (SEE)[13]. Specificando, per “estero” si intendono i paesi extra UE ed extra SEE.

Nel caso di trasferimento di dati all’estero, è necessario guardare a tre condizioni alternative.

  • Presenza di una “decisione di adeguatezza”. Se il paese verso cui lo Studio vuole trasferire i dati – allo stato attuale: Andorra, Argentina, Canada, Isole Faer Oer, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA.[14]
  • Assenza di una “decisione di adeguatezza”: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il Titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea (quali ad esempio responsabili esterni o contitolari del trattamento), che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard;
  • In assenza delle precedenti condizioni, l’articolo 49 GDPR, prevede alcune eccezioni – da utilizzare in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento. Il trasferimento, può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:
  • l’utente ha espresso esplicitamente il proprio consenso al trasferimento, una volta informato dal Titolare dell’assenza delle condizioni precedenti e degli eventuali rischi;
  • il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il Titolare stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.

Sicurezza del trattamento e data breach

Nell’ambito della sperimentazione clinica è di fondamentale importanza il focus sulle misure di sicurezza per i dati personali dei partecipanti.

In particolar modo, ai sensi dell’Art. 32 del GDPR, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Nelle Linee Guida del 24 luglio 2008 il Garante evidenzia la particolare delicatezza dei dati trattati nella sperimentazione [che] impone l’adozione di specifici accorgimenti tecnici per incrementare il livello di sicurezza dei dati […], senza pregiudizio di ogni altra misura [adeguata] che ciascun titolare del trattamento deve adottare […]. Ciò, con particolare riferimento alle operazioni di registrazione con strumenti elettronici dei dati delle persone coinvolte nello studio presso i centri di sperimentazione, al loro trasferimento in via telematica verso un unico database presso il promotore o gli altri soggetti che svolgono, per conto di quest’ultimo, la validazione e l’elaborazione statistica dei dati, nonché alla gestione della medesima banca dati.

Inoltre, in relazione a tali operazioni di trattamento, i promotori di sperimentazioni cliniche di medicinali, le organizzazioni di ricerca a contratto e i centri di sperimentazione, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità ai fini dell’adozione delle misure di sicurezza, devono adottare:

    • laddove siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l´applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l´adozione di altre misure informatiche di protezione che rendano inintelligibili i dati ai soggetti non legittimati);
    • protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati;
    • con specifico riferimento al menzionato database: idonei sistemi di autenticazione e di autorizzazione per gli [autorizzati/designati] in funzione dei ruoli e delle esigenze di accesso e trattamento; procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli [autorizzati/designati al] trattamento; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

In ogni caso, per quanto le misure di sicurezza del settore siano molto elevate, non è impossibile il verificarsi di una violazione dei dati personali (comunemente nota come Data Breach).

Ai sensi dell’art. 33 del GDPR, in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 (in Italia, il Garante Privacy) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

La notifica del Data Breach deve obbligatoriamente:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Infine, il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Registri delle attività di trattamento e valutazione di impatto

Ulteriore novità del GDPR sono i Registri delle Attività di Trattamento, colonna portante del principio di responsabilizzazione del GDPR.

In base all’art. 30.5 del GDPR, gli obblighi [di tenuta dei Registri delle Attività di Trattamento] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

I Registri sono tenuti in forma scritta (es. foglio di calcolo o software ad hoc) e sotto la responsabilità del Titolare del trattamento.

Per quanto attiene i contenuti dei Registri, essi sono descritti dall’art. 30.1 del GDPR. È necessario:

  • Inserire il nome e i dati di contatto del Titolare del trattamento. Quindi ad esempio: ragione sociale del promotore e dati di contatto (via, civico, CAP, città, provincia, contatto telefonico e mail). Nel caso di contitolarità del trattamento, inserirvi anche nome/i e dati di contatto del/i contitolare/i. Inoltre, in caso di presenza di un responsabile della protezione dei dati (DPO), è necessario inserirvi il suo nome e i suoi dati di contatto.
  • Delineare in maniera compiuta quali sono le finalità del trattamento dei dati poste in essere nella sperimentazione clinica. È fondamentale che alla modifica/integrazione delle finalità nel Registro segua la modifica/integrazione delle informazioni sul trattamento dei dati personali. Quindi nella nostra casella Excel potremmo inserire sotto finalità, ad esempio: “trattamento dati per finalità di gestione dello studio clinico XYZ”, con i dettagli che si ritengono necessari.
  • Descrivere le categorie di interessati e le categorie di dati personali (es. anagrafici, relativi alla salute, genetici).
  • Descrivere le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (se del caso) i destinatari di paesi terzi od organizzazioni internazionali. Anche qui è fondamentale che alla modifica/integrazione delle finalità nel Registro segua la modifica/integrazione delle informazioni sul trattamento dei dati personali. Ad esempio, tra i destinatari figurerà il laboratorio ABC.
  • Ove applicabile, inserire i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate. Anche qui omogeneità con le informazioni sul trattamento dei dati personali.
  • Inserire (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati, che non devono discostarsi da quanto previsto nelle informazioni sul trattamento dei dati personali (si veda il punto 4).
  • Mettere in campo una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32.1 del GDPR.

In base all’art. 30.2 del GDPR, anche ogni Responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Un altro importante pilastro del GDPR è la Valutazione d’Impatto sulla Protezione dei Dati. Rubricata negli artt. 35-36 del GDPR, si configura come un’autonoma valutazione che il Titolare del trattamento pone in essere per analizzare la necessità, la proporzionalità e i rischi di un determinato trattamento dati per i diritti e le libertà delle persone fisiche. È richiesta in particolar modo in tre casi:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Per quanto attiene il concetto di “larga scala”, secondo le Linee Guida del già “Gruppo dei Garanti Privacy europei” (WP29)[15][16] per determinare se un trattamento è svolto su larga scala si deve far riferimento al numero degli interessati, al volume di dati e/o tipologie di dati, alla durata dell’attività di trattamento e all’ambito geografico dell’attività di trattamento. In parole povere, se lo Studio tratta dati particolari su larga scala, è tenuto a porre in essere una Valutazione d’Impatto.

L’art. 35.7 del GDPR dispone che la Valutazione d’Impatto deve contenere:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.[17][18]

___________________________________________________________________

  1. Cfr. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/1533155
  2. Ai sensi dell’art. 9 del GDPR i dati personali che rivelano l’origine etnica, relativi alla salute e alla vita sessuale di una persona fisica sono considerati dati particolari (ex sensibili, nel vecchio Codice Privacy).
  3. Lo stesso Considerando 26 del GDPR, nell’ultimo periodo, dispone che: “[…] Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.
  4. Così come può svolgere la sua attività per una CRO – Clinical Research Organization.
  5. Cfr. https://www.agendadigitale.eu/sicurezza/gdpr-attenti-fare-il-dpo-non-e-un-mestiere-ecco-le-sue-vere-funzioni/
  6. […] le finalità del trattamento; le categorie di dati personali in questione; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; il diritto di proporre reclamo a un’autorità di controllo; qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; l’esistenza di un processo decisionale automatizzato […]
  7. Per approfondimenti sul Diritto alla Cancellazione dei dati: https://www.agendadigitale.eu/sicurezza/il-diritto-alloblio/
  8. Per approfondimenti sul Diritto alla Portabilità dei Dati: https://www.agendadigitale.eu/sicurezza/portabilita-dei-dati-nel-gdpr-cosa-significa-e-cosa-implica-questo-nuovo-diritto/
  9. Cfr. http://www.agenziafarmaco.gov.it/glossary/term/1439
  10. Cfr. https://ichgcp.net/it/4-investigator/
  11. Cfr. https://www.garanteprivacy.it/regolamentoue/fondamenti-di-liceita-del-trattamento
  12. Cfr. https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili
  13. Cfr. http://www.europarl.europa.eu/factsheets/it/sheet/169/lo-spazio-economico-europeo-see-la-svizzera-e-il-nord
  14. Cfr. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5306161
  15. Cfr. https://www.garanteprivacy.it/regolamentoue/DPIA
  16. Dal 25 maggio 2018 il WP29 è diventato Comitato Europeo per la Protezione dei Dati – https://edpb.europa.eu/about-edpb/about-edpb_it
  17. Per approfondimenti sulla Valutazione d’Impatto: https://www.agendadigitale.eu/sicurezza/data-protection-ecco-cosa-cambia-con-le-linee-guida-sulla-dpia/
  18. Si veda anche: https://www.garanteprivacy.it/documents/10160/0/ALLEGATO+1+Elenco+delle+tipologie+di+trattamenti+soggetti+al+meccanismo+di+coerenza+da+sottoporre+a+valutazione+di+impatto.pdf/b9ceefa9-dd65-df86-fed4-df3c3570f59d?version=1.11

@RIPRODUZIONE RISERVATA

Articolo 1 di 4