Data protection

Le sperimentazioni cliniche e il ruolo rivestito dalle parti in relazione al trattamento dei dati personali.

Al fine di fornire indicazioni chiare e utilizzabili in fase di scrutinio delle richieste finalizzate allo svolgimento dei Protocolli di Studio all’interno delle aziende sanitarie, si ritiene indispensabile individuare il relativo perimetro normativo e regolamentare che disciplina la materia.

Di seguito si riporta l’elenco delle norme (comunitarie e nazionali), delle Linee guida (comunitarie e nazionali):

  1. Regolamento (UE) 2016/679, (di seguito “GDPR”);
  2. Decreto Legislativo n. 196/2003 come modificato con Decreto Legislativo n. 101/2018, (di seguito “Codice Privacy”): artt. 110[1] e 110 bis[2]
  3. European Data Protection Board, (di seguito “EDPB”):

    a) Parere 3/2019[3] relativo alle domande e risposte sull’interazione tra il regolamento sulla sperimentazione clinica e il regolamento sulla protezione dei dati (art. 70, par. 1, lett. b), adottato il 23 gennaio 2019;

    b)Linee guida 03/2020[4] sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19, adottate il 21 aprile 2020

    c) Linee guida 07/2020[1] sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, vers. 2.0, Adottate il 7 luglio 2021;
  4. Regolamento (UE) n. 536/2014 del 16 aprile 2014, sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE;[6]
  5. Garante per la protezione dei dati personali – Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali – 24 luglio 2008

Si suggerisce al titolare del trattamento, qualora non vi abbia già provveduto, ad assume un regolamento interno in materia.

Lo scopo della presente Comunicazione, lo si ribadisce, è quello di fornire indicazioni finalizzate alla corretta individuazione dei soggetti che partecipano al trattamento dei dati personali, nello svolgimento di Sperimentazioni Cliniche.

Lo scrutinio è stato condotto, soprattutto, alla luce delle Linee guida dell’EDPB 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR; a tale proposito si riporta la seguente casistica.

Progetto di ricerca promosso da diversi istituti

Esempio: progetto di ricerca da parte di più istituti Diversi istituti di ricerca decidono di partecipare a un progetto comune specifico e di utilizzare a tal fine la piattaforma esistente di uno di essi. Ai fini della ricerca congiunta ciascun istituto alimenta la piattaforma con i dati personali che detiene e utilizza i dati forniti da altri attraverso la piattaforma per svolgere l’attività di ricerca. In questo caso, tutti gli istituti si qualificano come contitolari del trattamento dei dati personali svolto mediante l’archiviazione e la divulgazione di informazioni provenienti dalla piattaforma, in quanto hanno deciso congiuntamente la finalità del trattamento e i mezzi da utilizzare (la piattaforma esistente). Tuttavia, ciascuno degli istituti è un titolare autonomo rispetto a qualsivoglia trattamento effettuato al di fuori della piattaforma per proprie finalità.

Diversi istituti di ricerca decidono di partecipare ad uno specifico progetto di ricerca comune e di utilizzare per tale finalità la piattaforma di uno degli istituti coinvolti nel progetto.

Ogni istituto inserisce nella piattaforma i dati personali in suo possesso ai fini della ricerca congiunta e utilizza i dati forniti dagli altri attraverso la piattaforma per la realizzazione della ricerca.

In questo caso, gli istituti coinvolti si qualificano come Contitolari del trattamento dei dati personali che viene effettuato memorizzando e divulgando le informazioni sulla piattaforma, poiché essi hanno deciso in via congiunta lo scopo del trattamento ed i mezzi da utilizzare (la piattaforma).

Ciascuno degli istituti sarà invece Titolare autonomo degli altri trattamenti svolti al di fuori della piattaforma per propri fini.

Sperimentazioni cliniche[7]

Esempio: sperimentazioni cliniche. Un prestatore di assistenza sanitaria (lo sperimentatore) e un’università (lo sponsor) decidono di avviare congiuntamente una sperimentazione clinica avente la medesima finalità. Collaborano all’elaborazione del protocollo di studio (ossia finalità, metodologia/progettazione dello studio, dati da raccogliere, criteri di esclusione/inclusione dei soggetti, riutilizzo delle banche dati, se del caso, ecc.). Possono essere considerati contitolari del trattamento per detta sperimentazione clinica in quanto stabiliscono e concordano congiuntamente una stessa finalità e i mezzi essenziali del trattamento. La raccolta di dati personali dalla cartella clinica del paziente ai fini di ricerca va distinta dalla conservazione e dall’uso degli stessi dati ai fini dell’assistenza del paziente, per i quali il fornitore di assistenza sanitaria rimane titolare del trattamento. Nel caso in cui lo sperimentatore non partecipi alla stesura del protocollo (in quanto accetta semplicemente il protocollo già elaborato dallo sponsor) e il protocollo sia elaborato solo dallo sponsor, ai fini della sperimentazione clinica il ricercatore dovrebbe essere considerato responsabile del trattamento e lo sponsor il titolare del trattamento.

Un operatore sanitario (lo sperimentatore) e un’università (lo sponsor) decidono di avviare insieme uno studio clinico con lo stesso scopo.

  1. Essi collaborano insieme alla stesura del protocollo di studio (che ricomprende scopo, metodologia/progettazione dello studio, dati da raccogliere, criteri di esclusione/inclusione dei soggetti, riutilizzo del database ecc.). Essi possono essere considerati come Contitolari del trattamento per lo studio clinico, in quanto determinano e concordano congiuntamente lo stesso scopo ed i mezzi essenziali del trattamento.

La raccolta di dati personali dalla cartella clinica del paziente a scopo di ricerca va tenuta distinta dalla registrazione e dall’utilizzo dei medesimi dati ai fini di cura del paziente, di cui l’operatore sanitario rimane il Titolare.

  • Nel caso in cui lo sperimentatore non partecipi alla stesura del protocollo ma il protocollo è progettato solo dallo sponsor (e lo sperimentatore si limita ad accettarlo), lo sperimentatore deve essere considerato come un Responsabile e lo sponsor come il Titolare della sperimentazione clinica.

Perché è così importante stabilire e comprendere quale ruolo assumano gli attori del trattamento dei dati?

La seconda parte delle Linee Guida sui concetti di Titolare e Responsabile sopra richiamate riepiloga quali sono le conseguenze che derivano dalla differente configurazione dei ruoli privacy.

  • Con riferimento ai rapporti tra Contitolari ex 26 GDPR, le parti dovranno stabilire in sede contrattuale “chi fa cosa” decidendo tra loro chi dovrà svolgere quali compiti per garantire che il trattamento sia conforme a quanto previsto dalla normativa. Ad esempio, le parti dovranno decidere chi dovrà fornire l’informativa ex artt. 13 e 14 GDPR, chi dovrà occuparsi degli obblighi di notifica di un’eventuale violazione di dati personali, quale è la base giuridica del trattamento svolto da ciascuno dei Contitolari e così via per tutti gli adempimenti previsti a carico dei Titolari dal GDPR.
  • Con riferimento ai rapporti Titolare/Responsabile, in primo luogo il Titolare sarà responsabile della scelta dei responsabili, dovendo egli ricorrere a soli responsabili che presentino garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate: la valutazione dovrà essere svolta in modo effettivo mediante lo scambio di documentazione privacy che attesti l’adeguatezza del soggetto esterno che interverrà nel trattamento (ad es. politica sulla privacy, politica di gestione dei registri, politica di sicurezza dei dati, rapporti di audit esterni, certificazioni internazionali riconosciute, come le norme ISO 27000). Anche in questo caso, i rapporti dovranno essere contrattualizzati ai sensi dell’art. 28 GDPR. L’assunzione del ruolo di Responsabile invece comporterà la responsabilità diretta per gli obblighi posti dal GDPR direttamente a suo carico, nonché delle violazioni delle istruzioni fornite dal Titolare.
  • Nell’ipotesi della Titolarità autonoma, non sarà necessario prevedere una ripartizione delle responsabilità in sede contrattuale in quanto ciascuna delle parti coinvolte sarà responsabile in via complessiva e diretta del rispetto della normativa privacy nell’ambito del trattamento di dati svolto.

In relazione agli ulteriori soggetti che possono partecipare, a vario titolo, ad attività di trattamento relative alla conduzione del singolo studio clinico si prospetta la seguente situazione.

  1. Le autorità regolatorie di settore (AIFA, EMEA, ecc.) che possono accedere direttamente ai dati della ricerca per lo svolgimento di attività ispettive sono autonomi titolari del trattamento;
  2. I soggetti chiamati dal promotore a svolgere attività di monitoraggio, validazione, analisi di statistica dei dati, ecc. (es: Clinical Research Organization – CRO, laboratori di analisi o altri professionisti), sono responsabili del trattamento ai sensi dell’art. 28 GDPR, in quanto tali soggetti trattano dati personali degli arruolati allo Studio clinico per conto del titolare del trattamento;
  3. Le persone fisiche preposte al trattamento dei dati nell’ambito della ricerca, che operano sotto la diretta autorità del promotore o dello sperimentatore (es. coloro che partecipano allo Studio in qualità di suoi collaboratori), nonché i monitor, devono essere accuratamente selezionate in base alla loro esperienza, capacità ed affidabilità, e trattare i dati in base alle istruzioni loro impartite. Tali soggetti devono essere:

c.1 debitamente autorizzati

c.2 adeguatamente formati.

[1] Art. 110 (Ricerca medica, biomedica ed epidemiologica)

1. Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non e’ necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed e’ condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le liberta’ e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento.

2. In caso di esercizio dei diritti dell’interessato ai sensi dell’articolo 16 del regolamento nei riguardi dei trattamenti di cui al comma 1, la rettificazione e l’integrazione dei dati sono annotate senza modificare questi ultimi, quando il risultato di tali operazioni non produceeffetti significativi sul risultato della ricerca.

[2] Art. 110-bis (Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici)

1. Il Garante può autorizzare il trattamento ulteriore di dati personali, compresi quelli dei trattamenti speciali di cui all’articolo 9 del Regolamento, a fini di ricerca scientifica o a fini statistici da parte di soggetti terzi che svolgano principalmente tali attività quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita’ della ricerca, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, in conformità all’articolo 89 del Regolamento, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del trattamento ulteriore dei dati personali da parte di terzi, anche sotto il profilo della loro sicurezza.

3. Il trattamento ulteriore di dati personali da parte di terzi per le finalita’ di cui al presente articolo puo’ essere autorizzato dal Garante anche mediante provvedimenti generali, adottati d’ufficio e anche in relazione a determinate categorie di titolari e di trattamenti, con i quali sono stabilite le condizioni dell’ulteriore trattamento e prescritte le misure necessarie per assicurare adeguate garanzie a tutela degli interessati. I provvedimenti adottati a norma del presente comma sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana.

4. Non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati personali raccolti per l’attivita’ clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell’attivita’ di assistenza sanitariasvolta dai predetti istituti rispetto alla ricerca, nell’osservanza di quanto previsto dall’articolo 89 del Regolamento.

[3] Link: https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-32019-concerning-questions-and-answers_it

[4] Link: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_it

[5] Link: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_it

[6] In una sperimentazione clinica si dovrebbero tutelare i diritti, la sicurezza, la dignità e il benessere dei soggetti nonché produrre dati affidabili e robusti. Gli interessi dei soggetti dovrebbero sempre essere prioritari rispetto a tutti gli altri interessi. Link: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A32014R0536

[7] Nel riquadro si riporta l’esempio utilizzato dallo EDPB nelle Linee guida 07/2020.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

concorsi pubblici
Piattaforma digitale

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Cybersecurity
Obbligo di nomina del punto di contatto entro il 31 maggio 2025
23 Maggio 2025
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.
26 Agosto 2024
software gestionale
DELIBERA 17 ottobre 2024 – Approvazione del codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e accreditamento dell’organismo di monitoraggio. (Provvedimento n. 618). (24A06197) (GU Serie Generale n.278 del 27-11-2024)
22 Gennaio 2025

Start typing and press Enter to search