Trattamento dati

Sperimentazione clinica e privacy: perché è utile passare dal consenso al legittimo interesse

Per superare lo squilibrio di potere tra sponsor e paziente, la base giuridica per il trattamento dei dati personali nella sperimentazione clinica dovrebbe essere il legittimo interesse: riferimenti, esempi, perché il consenso non basta più

11 Feb 2022
Serena Alvino

Chief Legal Officer, Dompé farmaceutici S.p.A. IAPP Cipp/E

Giovanna Ianni

Partner League - The Legal Hub IAPP Cipp/E

Il 31 gennaio 2022 è diventato finalmente applicabile il Regolamento n° 536/2014 sulla sperimentazione clinica di medicinali per uso umano (“Clinical Trial Regulation – CTR”).

Mai come in questo momento storico, nell’ambito e per effetto del contesto pandemico, il tema dell’utilizzo dei dati personali sanitari nelle ricerche scientifiche farmaceutiche è stato così caldo, non soltanto tra ristrette cerchie istituzionali e accademiche, ma anche nell’opinione pubblica allargata.

Sanità digitale e Gdpr, le basi giuridiche e le interpretazioni

Tra le inevitabili problematiche connesse all’utilizzo dei dati di pazienti coinvolti in sperimentazioni cliniche, l’argomento sicuramente più sentito da parte di tutti i player (pazienti, in primis, ma anche centri clinici, sperimentatori, promotori, comitati etici) è quello della legittimità del consenso ai fini privacy dei pazienti, quale valida e corretta base giuridica del trattamento, in conformità al Regolamento n° 679/2016 (“General Data Protection Regulation – GDPR”).

A dire il vero, il CTR è entrato già in vigore nel lontano 2014, ma solo a luglio 2021 è stato rimosso l’ultimo ostacolo alla sua applicazione, cioè la piena funzionalità del Clinical Trial Information System (“CTIS”), il nuovo portale che, insieme alla banca dati UE, diventerà l’“unico punto di accesso per la presentazione dei dati e delle informazioni concernenti le sperimentazioni cliniche” (artt. 80 – 82, CTR).

Con la piena operatività del CTIS, il CTR dovrebbe rendere maggiormente attrattiva l’Europa come sede di nuove sperimentazioni cliniche, creando un ambiente favorevole allo sviluppo della ricerca nei singoli paesi europei attraverso l’omogeneizzazione delle regole che la sovraintendono.

Sperimentazione clinica: come il CTR garantisce uniformità ai processi

Oltre all’armonizzazione, alla trasparenza nelle informazioni e ad uno standard elevato di sicurezza per tutti coloro che partecipano alle sperimentazioni cliniche, il CTR garantirà un processo di conduzione delle sperimentazioni cliniche uniforme ed omogeneo in tutti gli Stati membri: le sperimentazioni cliniche, dunque, potranno avere contemporaneamente inizio in più Paesi dell’Unione Europea con tempistiche e criteri di controllo definiti e certi.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Difatti, diversamente da quanto avvenuto sin ad ora, gli sponsor potranno presentare con un’unica domanda la richiesta di autorizzazione della sperimentazione clinica contemporaneamente fino ad un massimo di 30 paesi SEE, agevolando non solo il compimento degli adempimenti più “burocratici”, ma anche la valutazione coordinata della sicurezza dei medicinali già immessi in commercio o da avviare alla commercializzazione nei Paesi europei e, soprattutto, facilitando anche l’arruolamento dei partecipanti alle sperimentazioni attraverso la collaborazione transfrontaliera tra i centri sperimentali.

Secondo l’ultimo “Rapporto Nazionale sulla Sperimentazione Clinica dei Medicinali in Italia 2020”, pubblicato il 30 dicembre 2020 dall’AIFA – Agenzia Nazionale per il Farmaco, il mercato italiano delle sperimentazioni cliniche, “pur in un contesto di contrazione costante e generale delle sperimentazioni condotte in Europa […] ha portato a un ulteriore incremento della percentuale di sperimentazioni autorizzate in Italia rispetto al resto d’Europa (pari al 22%). Il dato potrebbe riflettere una prima conseguenza della Brexit, con lo spostamento progressivo degli Sponsor verso altri Stati Membri, ma potrebbe anche significare un aumento di fiducia nel sistema italiano delle sperimentazioni cliniche in seguito alla pubblicazione della Legge n. 3/2018 (c.d. “Legge Lorenzin”) e del successivo Decreto Attuativo 52/2019, che ha apportato modifiche al precedente Decreto Legislativo n. 200/2007”.

Il rapporto AIFA evidenzia che è “sempre più urgente l’adeguamento del sistema Italia ai requisiti del Regolamento 536/2014, che a livello nazionale richiederà aggiustamenti di natura organizzativa più significativi, proprio per le sperimentazioni valutate in maniera coordinata con gli altri Stati Membri”.

Considerando quanto sopra, l’Europa, rectius l’Italia, potrebbe diventare un Paese particolarmente appetibile per le sperimentazioni: diventa, quindi, imprescindibile che alla base di una buona ricerca, condotta in modo trasparente ed etico, nel rispetto dei più ampi diritti personali dei pazienti coinvolti, vi sia da parte delle società farmaceutiche e dei player istituzionali anche e soprattutto una corretta e coerente gestione dei dati personali degli interessati, dando quindi particolare attenzione al rapporto intercorrente tra CTR e GDPR e alla loro contestuale implementazione nei processi aziendali.

CTR e GDPR: il legame tra sperimentazione clinica e privacy

È possibile unire sperimentazione clinica e tutela dei dati personali.

Infatti, il Considerando 1 CTR enuncia che una sperimentazione clinica, oltre alla produzione di dati affidabili e robusti, deve tutelare i diritti, la sicurezza e la dignità dei soggetti coinvolti; il successivo Considerando 76 CTR è ancora più esplicito nel chiarire che tra i diritti fondamentali dei soggetti coinvolti negli studi rientra la tutela dei dati personali.

E ancora, l’art. 28, par. 1, lett. d) CTR espressamente stabilisce che “la conduzione di una sperimentazione clinica è consentita esclusivamente se” – unitamente a tutte le condizioni ivi previste – “sono rispettati il diritto all’integrità fisica e mentale dei soggetti, il diritto alla vita privata e alla protezione dei dati che li riguardano in conformità alla direttiva 95/46/CE” (leggasi GDPR: il CTR è nato nel 2014, quando era ancora in vigore la Direttiva Privacy, abrogata nel 2016 dal GDPR).

In via generale, l’intero testo dell’art. 28 CTR si fonda sul presupposto che non può esservi sperimentazione clinica senza trattamento di dati personali (il par. 2 stabilisce ancora che “la ricerca scientifica che utilizzi i dati al di fuori di quanto previsto nel protocollo della sperimentazione clinica è condotta in conformità del diritto applicabile in materia di protezione dei dati”).

Il rapporto CTR/GDPR non è stato, dunque, affatto sottovalutato dal legislatore europeo che ha previsto, più volte nel testo del CTR, il richiamo alla normativa a tutela dei dati personali[1]. Reciprocamente, anche il GDPR fa chiaro riferimento alla normativa sugli studi clinici[2].

Oltre ai principi generali sopra espressi, vanno considerati tutti quegli obblighi di legge a cui il promotore è tenuto nell’intera procedura di autorizzazione, il cui adempimento richiede la gestione e la raccolta di dati personali nell’ambito della conduzione degli studi clinici, tra cui:

  • la trasmissione entro un anno dalla conclusione della sperimentazione di una sintesi dei risultati dello studio alla banca dati UE, ex art. 37, par. 4 CTR; il contenuto della sintesi è standardizzato dal legislatore europeo ed include, tra l’altro, i dati dei pazienti;
  • la conservazione delle registrazioni dettagliate di tutti gli eventi avversi comunicati dallo sperimentatore, ex art. 41, par. 3 CTR (dunque, anche dati personali);
  • la conservazione del fascicolo permanente della sperimentazione per almeno venticinque anni dalla conclusione della stessa, ex art. 58 CTR.

I due Regolamenti sono, pertanto, strettamente collegati e la loro applicazione va, quindi, coordinata.

Se, quindi, una sperimentazione clinica non può essere condotta, se non rispetti i diritti dei soggetti coinvolti, va da sé che è intrinseca nella natura della stessa non solo la raccolta ed il trattamento di dati personali sic et simpliciter, ma anche di quella categoria particolare di dati rappresentata, tra gli altri, da quelli genetici e biometrici (intesi a identificare in modo univoco una persona fisica) e quelli relativi alla salute, così come definiti dall’art. 9 GDPR.

Sperimentazione clinica: perché vengono raccolti i dati personali e gli obblighi di legge

La raccolta ed il trattamento dei dati personali dei pazienti sono necessari in ogni sperimentazione clinica, ma, come detto, sono anche indispensabili per rispettare obblighi di legge.

È fondamentale, quindi, valutare su quali basi giuridiche avvenga il trattamento dei dati personali raccolti durante la conduzione di una sperimentazione clinica e ciò può essere fatto solo analizzando le finalità per le quali tali dati vengono raccolti e trattati.

Per garantire qualità e sicurezza alla sperimentazione

Una prima finalità riguarda sicuramente l’esecuzione di tutti quegli adempimenti necessari a svolgere una valutazione della sicurezza ed affidabilità dei dati raccolti nel contesto della sperimentazione clinica (artt. 41 e 43 CTR), cioè di quei dati che documentano eventi avversi o risultati anomali, come comunicati dallo sperimentatore al promotore e, successivamente, oggetto della relazione cui quest’ultimo è tenuto annualmente verso l’Agenzia europea per i medicinali.

Nessun dubbio che la base giuridica che rende lecito il trattamento dei dati personali dei pazienti coinvolti sia quella dell’art. 6.1 lett. c), GDPR, in quanto il trattamento è necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento.

Nel caso di dati particolari, il trattamento è da considerarsi lecito in base all’art. 9.2, lett. i), GDPR (il trattamento è necessario per fornire la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali), ovvero anche in base all’art. 9.2, lett. j), GDPR (il trattamento è necessario ai fini di archiviazione nel pubblico interesse, di ricerca scientifica).

Per scopi di ricerca

Una seconda finalità è riconducibile a generali “scopi di ricerca”.

Il tema è molto complesso e di difficile gestione, soprattutto a livello italiano. Infatti, negli anni si è riscontrato un atteggiamento granitico di molti comitati etici, i quali continuano a porre come unica base giuridica del trattamento dei dati personali per scopi di ricerca scientifica solo il consenso, come previsto dall’ art. 6.1, par. a), GDPR.

Si fa fatica a credere che un consenso di questo tipo non risenta delle condizioni particolari in cui viene prestato, inficiando la libertà del paziente stesso nella sua espressione: il potenziale partecipante ad uno studio potrebbe non godere di ottima salute, oppure potrebbe trovarsi in situazioni economiche svantaggiate, o semplicemente in una situazione psicologica di disagio rispetto allo studio in sé o a chi glielo sta proponendo.

Infatti, nell’attesa che vengano elaborate più specifiche linee guida sulle attività di ricerca scientifica da parte dell’EDPB – European Data Protection Board” o “Comitato Europeo”, non più tardi di febbraio 2021 il Comitato Europeo ha chiarito ulteriormente (sia pure in modo non ancora conclusivo, rispetto al parere n. 3/2019, specifico sull’interazione tra CTR e GDPR ed alle Linee Guida n. 03/2020, emanate in tema di ricerca sanitaria nel contesto dell’emergenza legata al Covid-19) che non necessariamente il consenso è la base giuridica da preferire per il trattamento di dati sanitari.

Due le considerazioni fondamentali su questo tema: la prima, non bisogna confondere il c.d. “consenso informato” (cui si riferisce il CTR) con il consenso come base giuridica del trattamento privacy; la seconda, il consenso potrebbe, appunto, non essere una base giuridica appropriata laddove, nel rapporto tra titolare ed interessato si manifesti uno squilibrio, quale può essere quello tra centro clinico o sponsor e paziente, indotto ad aderire ad una sperimentazione clinica che potrebbe rappresentare l’unica alternativa terapeutica adeguata alle sue condizioni di salute: di certo, si tratterebbe di un consenso non liberamente prestato, non specifico e non inequivocabile.

Inoltre, l’utilizzo del consenso come base giuridica del trattamento di dati personali nell’ambito di sperimentazioni cliniche pone ulteriori dubbi e problematiche.

Infatti, laddove si conducano sperimentazioni – in particolare a livello internazionale e in studi multicentrici – in cui alcuni dati raccolti per specifiche finalità di cura possano successivamente essere confrontati con altri (ai fini di ricerca), è evidente che tanto i centri clinici quanto i promotori possano descrivere nell’informativa al paziente le finalità del trattamento solo in via generale, con la conseguenza che, come previsto dal Considerando 33 GDPR, “gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca”. In questi casi, il Comitato Europeo ha evidenziato la necessità che vi sia “coerenza ed armonizzazione nella scelta della base giuridica” della sperimentazione, evitando che la legislazione dei singoli Stati membri possa addirittura comportare l’uso di basi giuridiche diverse, pur nel medesimo progetto di ricerca.

Per altre finalità o nuova sperimentazione clinica

Altra questione di non poco conto riguarda l’utilizzo dei dati personali raccolti per un’ulteriore finalità o per una nuova sperimentazione clinica: senza volere qui addentrarsi nei meandri del c.d. “uso secondario” dei dati di sperimentazione clinica, va da sé che – a fronte di nuovi scopi e nuovi trattamenti – il titolare dovrebbe fornire ai pazienti una diversa ed ulteriore informativa, fatta salva l’applicabilità dell’eccezione di cui all’art. 14, par. 5, GDPR: il titolare, che abbia ricevuto i dati dell’interessato attraverso terze parti (ed è il caso del promotore, che non ha contatto diretto con i pazienti arruolati e la cui informativa viene rilasciata a questi ultimi solo per il tramite del team sanitario), non sarà nella condizione di fornire agli interessati (la cui identità è pseudonimizzata) una ulteriore informativa. Ma poiché l’onere del rilascio dell’informativa risponde all’obbligo di rispettare il principio di trasparenza, solo in via del tutto eccezionale il titolare del trattamento potrebbe avvalersi di tale esenzione.

In questo contesto, le considerazioni di tutela dei dati personali dei pazienti, svolte dai soggetti che agiscono in qualità di titolari del trattamento (in primis, promotori e centri clinici), diventano troppo complicate e l’esito delle stesse potrebbe andare proprio a discapito della dovuta trasparenza e chiarezza.

Senza contare, infine, che il consenso può essere revocato in qualsiasi momento, con la conseguenza che, se è vero che la revoca del consenso non pregiudica la liceità del trattamento dei dati personali, basata sul consenso prestato prima della revoca, è altrettanto pacifico che il titolare deve cessare qualsiasi trattamento dei dati personali relativi al soggetto coinvolto nello studio e cancellare gli stessi (art. 17, par.1, lett. b), GDPR – diritto alla cancellazione), a meno che non ci siano altre basi giuridiche a giustificare tale trattamento.

Anche l’art. 28, par. 3, CTR prevede, che “il soggetto può ritirarsi dalla sperimentazione clinica in qualsiasi momento […] revocando il proprio consenso informato”, ma le due revoche hanno effetti sostanzialmente diversi.

La revoca del consenso informato non pregiudica le attività già svolte e l’utilizzo dei dati ottenuti sulla base del consenso prima della sua revoca; tali dati, quindi, non devono essere cancellati o in alcun modo eliminati, come previsto dal sopra citato art. 17, par. 1, lett. b), GDPR. Il ritiro del consenso privacy renderebbe, invece, i dati raccolti inutilizzabili (a meno che non si possa procedere con un’altra base di trattamento), creando un danno sia da un punto di vista scientifico, che economico che è facile prevedere. Cui prodest, dunque?

I vantaggi del legittimo interesse per il titolare e i pazienti

Difficile non riconoscere che nel rapporto sponsor – sperimentatore/paziente esiste sempre una condizione di squilibrio di potere, con la conseguenza che il consenso non è la base giuridica più adeguata per il trattamento dei dati personali degli interessati.

Volendo attenersi a tale criterio, anche in virtù del principio di accountability, il titolare del trattamento dovrebbe effettuare ogni volta una valutazione particolarmente approfondita delle circostanze della sperimentazione clinica, prima di ricorrere appunto al consenso dell’interessato come base giuridica per trattare i dati personali ai fini delle attività di ricerca.

Proprio per questi motivi, parrebbe più prudente, oltre che più logico, procedere fin dal principio, con una base giuridica diversa.

A tal proposito, viene in soccorso l’art. 6, par.1, lett. e), GDPR, laddove prevede che “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”; oppure, l’art. 6, par. 1, lett. f), GDPR per il quale “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi”. Per quanto riguarda, invece, le categorie particolari di dati personali, quanto sopra verrebbe integrato dall’art. 9, par. 2, lett. i) e j), GDPR (per motivi di interesse pubblico nel settore della sanità e a fini di archiviazione nel pubblico interesse, di ricerca scientifica).

Come sopra accennato, la posizione da ultimo espressa dall’EDPB di riconoscimento dell’interesse legittimo del titolare, quale giustificazione del trattamento dei dati personali dei pazienti (purché non prevalga l’esigenza di tutelare i diritti e gli interessi dell’interessato), ha un effetto dirompente tra gli operatori del settore farmaceutico.

L’argomento merita un approfondimento, perché, come noto, non basta affermare la prevalenza degli interessi del titolare sui diritti degli interessati, per essere conformi al GDPR, ma bisogna dimostrarla concretamente.

La legittimità della scelta di questo criterio (che indubbiamente presenta maggiore elasticità rispetto al consenso o ad altri criteri) è fondata sull’esecuzione da parte del titolare di una c.d. “operazione di bilanciamento” degli opposti interessi in campo. In conformità ai caposaldi dell’accountability e della proporzionalità, il GDPR demanda agli stessi titolari il compimento di questa operazione, espressamente prevedendo che “è opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgano sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato” (Considerando 69, GDPR).

Tale valutazione non è di facile esecuzione, laddove ci si muova nell’ambito della salute dei pazienti e delle sperimentazioni cliniche: d’aiuto nel formulare le adeguate considerazioni è senz’altro lo strumento della LIA – Legitimate Interest Assessment, volto a documentare (all’inizio del trattamento basato sul legittimo interesse, ma anche successivamente e periodicamente) il processo di valutazione condotto dal titolare sul valido ricorso al proprio legittimo interesse ai sensi dell’art. 6, par. 1, lett. f), GDPR.

In linea di principio, i vantaggi che il promotore (titolare del trattamento) trae dai dati personali dei pazienti possono riassumersi nella esecuzione di sperimentazione clinica, volta allo sviluppo, alla produzione e vendita di farmaci e di nuove terapie; di ciò, naturalmente, ne beneficia anche la collettività in generale, a titolo d’esempio, le aziende ospedaliere (pubbliche e private), gli enti operanti nel settore medico-sanitario, il sistema sanitario pubblico e l’indotto socio-assistenziale (anche assicurativo), nonché il sistema industriale-commerciale nel suo complesso (minore impatto sui costi di gestione delle conseguenze derivanti da determinate malattie).

Anche l’interessato, evidentemente, beneficia del trattamento dei propri dati personali all’interno della procedura di sperimentazione, consentendogli di avere accesso ad una nuova terapia non ancora presente sul mercato e, pertanto, prima che questa sia fruibile ai più, di essere curato presso centri clinici all’avanguardia. D’altra parte, è la conformità del protocollo di sperimentazione alle Good Clinical Practices, che garantisce pubblicamente non solo la tutela dei diritti, della sicurezza e del benessere dei soggetti che partecipano allo studio, in conformità ai princìpi stabiliti dalla Dichiarazione di Helsinki, ma anche l’attendibilità dei dati relativi allo studio clinico.

Sempre in linea di principio, la probabilità che gli interessati possano trovare il trattamento dei loro dati personali troppo invasivo è piuttosto bassa; non solo il paziente rilascia, comunque, il consenso informato, come libera espressione della propria volontà a partecipare alla sperimentazione clinica, ma riceve dal promotore adeguata informativa sull’utilizzo dei suoi dati, noti al promotore stesso solo in via pseudonimizzata (tramite il “Unique Patient Identifier”).

Ne consegue che il promotore tratta i dati personali del paziente in modo tale che gli stessi non possano più essere ricondotti ad una specifica persona, salvo che (per ragioni meramente eccezionali ed eventuali, legate essenzialmente agli obblighi in tema di farmacovigilanza) non vengano fornite da parte del paziente stesso o dagli sperimentatori informazioni aggiuntive, tali da permettere la re-identificabilità.

Sperimentazione clinica e privacy: la posizione dei comitati etici

Dimenticare il consenso pare, dunque, più coerente sia con lo spirito del GDPR che con il CTR, ma restano da convincere alcuni, non tutti, i comitati etici.

Tuttavia, di tempo per sensibilizzare ancora i comitati ne rimane ben poco, considerando, tra l’altro, che non è sicuramente tra le priorità del promotore quella di intraprendere lunghe discussioni con i comitati etici, visti anche i tempi di riunione degli stessi.

Questi ultimi, infatti, pensano di tutelarsi da ogni possibile rischio chiedendo la firma di un consenso che, spesso, considerano alla stregua del consenso informato ex art. 28 CTR, disconoscendone le sostanziali differenze.

I comitati etici dovrebbero lasciare il tema della tutela dei dati personali dei pazienti arruolati, sulla base del principio della accountability, al promotore/titolare che, ipso iure, deve assumersi tutte le responsabilità, gli oneri e anche le conseguenze giuridiche delle proprie scelte del trattamento dei dati personali nell’ottica della privacy by design. I comitati, per contro, si dovrebbero concentrare sulla valutazione degli aspetti etici e scientifici delle sperimentazioni al fine di tutelare i diritti, la sicurezza ed il benessere dei soggetti coinvolti.

Vale la pena, in conclusione, aprire un dialogo e sensibilizzare gli attori in campo per far sì che le basi giuridiche del trattamento diverse dal consenso siano giustamente valorizzate e trovino piena attuazione.

________________

Note

  1. Si vedano, ancora a titolo d’esempio: l’art. 93, par. 1 CTR: “Gli Stati membri applicano la direttiva 95/46 CE al trattamento dei dati personali effettuato negli Stati Membri”, ma anche l’art. 7 CTR, in base al quale ciascuno Stato membro effettua la valutazione delle domande di autorizzazione, anche tenendo conto, tra le altre, del grado di conformità alla direttiva 95/46/CE (rectius GDPR)
  2. Si veda il Considerando 156 GDPR, “trattamento di dati personali a fini di archiviazione […] di ricerca scientifica”, il Considerando 157 GDPR, “combinando informazioni provenienti dai registri […] i risultati delle ricerche possono acquistare maggiore rilevanza, dal momento che si combinano su una popolazione più ampia […] i dati personali possono essere trattati per finalità di ricerca scientifica, fatte salve condizioni e garanzie adeguate”. In maniera ancor più chiara si pone il Considerando 161 GDPR, per il quale “ai fini del consenso alla partecipazione ad attività di ricerca scientifica nell’ambito di sperimentazioni cliniche dovrebbero applicarsi le pertinenti disposizioni del regolamento (UE) n. 536/2014” (CTR)

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4