Il Garante Privacy esprime parere favorevole sulla realizzazione di una banca dati sanitaria per fini di ricerca con trattamenti di dati anche di soggetti deceduti o non contattabili e prescrive di acquisire un consenso a fase progressive.
L’Autorità si è infatti pronunciata su una richiesta di consultazione preventiva ex articolo 100 del Codice della privacy e articolo 36 del GDPR nell’ambito di un importante studio di ricerca retrospettivo. Con l’occasione, il Garante approfondisce la tematica della base giuridica al trattamento, delle misure organizzative, delle tecniche di anonimizzazione e della conservazione dei dati. L'azienda Ospedaliera Universitaria integrata di Verona ha presentato, in qualità di promotore, un' istanza di consultazione preventiva ai sensi dell'articolo 110, comma 1, ultimo capoverso del codice della protezione dei dati personali e articolo 36 del GDPR per la realizzazione di uno studio clinico di ricerca osservazionale non farmacologico con dati sia prospettici che retrospettivi. Il progetto di ricerca in oggetto è finalizzato alla creazione di un database denominato “DB Torax” relativo alla popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico, sulla base del quale sviluppare poi studi clinici successivi volti ad analizzare aspetti particolari per patologie neoplastiche, infettive, degenerative e traumatiche. L'articolo 110, comma 1, del Codice Privacy rubricato «Dati relativi ad attività di studio e di ricerca» in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica , richiede il consenso come base giuridica, stabilendo che ove, non sia possibile raccogliere il consenso dell'interessato, il relativo programma di ricerca sia oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e sia sottoposto a preventiva consultazione del Garante ai sensi dell' articolo 36 del GDPR previa valutazione di impatto . L'Azienda sanitaria, come richiesto dal sopra citato articolo ha effettuato una valutazione di impatto , ha acquisito il parere favorevole del Comitato etico locale e ha presentato istanza di consultazione preventiva al Garante per la protezione dei dati personali, ex art 36 del GDPR in quanto tra i pazienti arruolati rilevano anche soggetti deceduti o non più contattabili . L'Azienda ha trasmesso all'autorità sia il protocollo sia la sopra citata valutazione di impatto. Lo studio in esame è uno studio osservazionale interdipartimentale, non farmacologico con dati sia prospettici che retrospettivi. L'Azienda ha rappresentato di aver «provato a contattare i pazienti selezionati da includere retrospettivamente nello Studio, ma solo meno del 10% è risultato reperibile, per cui residua una componente numerica essenziale per la validità scientifica dello Studio deceduta o non contattabile». Il Garante ha esaminato l'istanza e ha approfondito il profilo della base giuridica del trattamento e ha espresso parere favorevole allo studio ma ha posto specifiche condizioni. Si tratta di uno dei primi provvedimenti del Garante in materia di ricerca clinica ed è di interesse in quanto può guidare le aziende sanitarie, i Dpo e gli operatori nel percorso di compliance GDPR in percorsi analoghi. In riferimento al sopracitato profilo della base giuridica del trattamento dei dati , nel provvedimento il Garante ha individuato le seguenti casistiche per la costruzione del data base, nel caso di studi prospettici la base giuridica per è costituito dal consenso per gli studi retrospettivi, la base giuridica secondo il Garante è costituito dal percorso indicato dall' articolo 110 del Codice in materia di protezione dei dati personali. per gli studi futuri successivi, la base giuridica è costituita da un consenso a fasi progressive in quanto il primo consenso acquisito non è compatibile con i successivi trattamenti. Il Garante ha rappresentato, infatti, che i consensi raccolti per la creazione del DB Torax o, in alternativa, la procedura di consultazione preventiva in esame non possono costituire anche la base giuridica per ulteriori trattamenti , poiché essi rappresentano una manifestazione di volontà ancora parziale che si andrà a completare in maniera progressiva con le ulteriori e specifiche richieste di consenso che dovranno essere avanzate dall'Azienda in occasione della realizzazione degli studi futuri cons. 50, articolo 6 par. 4, del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento UE 2016/679, cit. . Il Garante ha, pertanto, da un lato, autorizzato la raccolta e la conservazione dei dati nel data base “Torax”, fondandole su un primo consenso, espresso dai pazienti al momento di partecipare allo studio, a condizione, dall'altro lato, che l'Azienda Ospedaliera acquisisca successivamente specifici consensi dai pazienti o il parere del Garante per quelli deceduti o non più contattabili, mano a mano che i progetti di ricerca verranno maggiormente definiti e approvati dai comitati etici territorialmente competenti. Il Garante ha sottolineato come sia stato titolare a dichiarare che gli studi futuri, anche quelli inerenti ai nove ambiti di osservazione indicati nel protocollo dello Studio, saranno oggetto di specifici protocolli che verranno sottoposti ai Comitati etici territorialmente competenti per l'acquisizione del previsto parere. Secondo il Garante la sopra citata precisazione dimostra come la finalità determinata e specifica del trattamento verrà individuata a fasi progressive in maniera completa e puntuale solo all'esito dell'approvazione dei futuri progetti di ricerca. Secondo il Garante, l'Azienda, in qualità di titolare del trattamento, all'esito dell'approvazione dei futuri progetti di ricerca da parte dei competenti Comitati etici, dovrà integrare le manifestazioni di volontà degli interessati già raccolte , con specifici consensi per giungere, in via progressiva ad ottenere un presupposto giuridico idoneo al trattamento dei dati per scopi di ricerca scientifica Linee guida 5/2020 sul consenso ai sensi del regolamento UE 2016/679 del 4 maggio 2020 del Comitato europeo per la protezione dei dati, cfr. punto 7.2 ovvero laddove si trovi in una delle condizioni di cui all'articolo 110 del Codice e al punto 5.3 delle Prescrizioni, dovrà avanzare specifiche istanze di consultazione preventiva ai sensi del predetto articolo 110 del Codice. Il provvedimento richiama il considerando 33 del regolamento che, in circostanze residuali, ammette che gli interessati possano prestare un consenso a fasi progressive per il trattamento dei dati personali per scopi di ricerca scientifica, quando al momento della raccolta non è possibile individuare pienamente le specifiche finalità del trattamento. Secondo il Garante, tenuto conto che, anche in relazione ai trattamenti in esame, non è possibile derogare al requisito della specificità e granularità del consenso articolo 6 e 7 del Regolamento e par. unto 7.2 delle Linee guida numero 5/2020 sul consenso ai sensi del Regolamento UE 2016/679 . Il provvedimento richiama l' orientamento del Comitato europeo per la protezione che ha chiarito, infatti, che «il considerando 33 non inficia gli obblighi relativi al requisito del consenso specifico. Ciò significa che, in linea di principio, i progetti di ricerca scientifica possono includere dati personali sulla base del consenso soltanto se hanno una finalità ben descritta» cfr. par. 7.2 e punto 155 , ammettendo in via eccezionale e residuale che «quando non è possibile specificare appieno le finalità della ricerca, il titolare del trattamento deve cercare altri modi per garantire il rispetto dell'essenza dei requisiti del consenso, ad esempio permettendo agli interessati di acconsentire a una finalità di ricerca in termini più generali e a fasi specifiche di un progetto di ricerca che si sa già sin dall'inizio avranno luogo. Mano a mano che la ricerca avanza, sarà quindi possibile ottenere il consenso per le fasi successive del progetto prima dell'inizio della fase corrispondente. Tuttavia, tale consenso dovrebbe comunque essere in linea con le norme deontologiche applicabili alla ricerca scientifica» cfr. par. 7.2 e punto 158 . Nel provvedimento in esame il Garante sottolinea come nella valutazione di impatto presentata dall'Azienda, siano state predisposte misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio nonché per assicurare effettiva applicazione al principio di minimizzazione dei dati. Secondo il Garante è stata inoltre condotta un' analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l'origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli articolo 5, par. 2 lett. c , f , 89 e 32 del Regolamento . L'Autorità ha specificato che il titolare del trattamento dovrà svolgere una specifica valutazione d'impatto in relazione ai progetti di ricerca futuri tenendo conto, in un'ottica di semplificazione, che una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevali analoghi articolo 35, par. 1, ultimo periodo del Regolamento . Il Garante, inoltre, ha preso positivamente atto delle tecniche di anonimizzazione individuate dall'Azienda che da una parte assicurano in termini generali la riduzione del rischio di reidentificazione degli interessati ad un livello accettabile, dall'altro favoriscono un'efficace circolazione di informazioni nel contesto della ricerca scientifica. Risulta molto importante alla luce del parere positivo del Garante esaminare le tecniche di anonimizzazione adottate dall'azienda. Il provvedimento chiarisce, infatti, agli operatori quali siano le tecniche idonee ad abbassare il rischio di re-identificazione al punto tale da poter legittimamente considerare il dato come anonimo. L'Azienda aveva specificato nella documentazione che gli unici soggetti che potevano accedere al DB Torax, e alla e-CRF dello Studio, erano gli stessi ricercatori dell'Azienda che partecipano allo Studio e agli studi specifici, debitamente autorizzati ex articolo 29 del RGPD e articolo 2-quaterdecies del Codice, con espressa esclusione di qualsiasi soggetto terzo. In riferimento all' anonimizzazione dei dati , l'Azienda aveva dichiarato di adottare la tecnica della randomizzazione mediante aggiunta di rumore par. 3.1.1. del WP216 “Parere 05/2014 sulle tecniche di anonimizzazione” adottato dal WP29 in data 10/04/2014 , «eliminando dalla e-CRF e, conseguentemente, dal DB Torax alcuni parametri e che i dati sanno ceduti a terzi solo in forma anonimizzata. Le tecniche di anonimizzazione adottate dall'Azienda sono le seguenti a eliminazione dalla e-CRF e, conseguentemente, dal DB Torax di alcuni parametri b randomizzazione mediante aggiunta di rumore [ ] c generalizzazione mediante aggregazione e K-anonimato [ ]”». L' eliminazione avrà ad oggetto 51 variabili comprensive di quelle che conducono alla identificazione diretta degli interessati “ricordi” e “patient code” , ulteriori variabili eccedenti o idonee ad accrescere il rischio di reidentificazione es. data di nascita firma del consenso informato , nonché quelle «utili più ai fini organizzativi dello Studio che ai fini di analisi dei dati». La randomizzazione prevede il ricorso a 57 variabili e riguarderanno 3 categorie “valore in anni per l'età all'arruolamento “age_at_enrollment” [ ] l'età alla diagnosi “age_diagnosis” , e [ ] giorni per le restanti variabili della sezione che riguardano tutte le date riportate nel DB Torax”. A tale riguardo, è stato chiarito che «La tecnica di randomizzazione con aggiunta di rumore prevede che si fissi per una variabile un intervallo di valori all'interno dei quali scegliere in modo casuale quello a cui sommare o sottrarre il valore di origine della variabile sottoposta a tale tecnica». La generalizzazione prevede invece il ricorso a 293 variabili oggetto di “generalizzazione”. Sul punto è stato chiarito in particolare che “La tecnica di generalizzazione mediante aggregazione e K-anonimato consiste nell'assicurare che ogni valore relativo a un soggetto interessato sia condiviso da almeno un numero minimo k di altre persone all'interno dell'insieme. Pertanto, se ciò non avviene si deve prevedere di aggregare i soggetti in gruppi che contengano almeno k soggetti”. In relazione alle modalità per rendere pubbliche le informazioni da fornire agli interessati in relazione ai dati raccolti presso terzi, l'Azienda ha dichiarato che «provvederà a informare l'utenza della promozione dello Studio e dei correlati studi specifici mediante apposita pagina informativa pubblicata sul proprio sito web, da diffondere sui canali social dell'Azienda, invitandola a mettersi in contatto, per quanto di ragione, con le UOC competenti, in modo da raggiungere i pazienti non contattabili» note 17 marzo e del 24 maggio 2022 . L'Autorità ha richiesto all'Azienda di rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all'applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nella banca dati. Il provvedimento approfondisce anche il profilo della conservazione dei dati indicati nell'azienda indicato nel periodo di 20 anni a decorrere dalla chiusura dello studio, «intendendosi per tale la data di arruolamento dell'ultimo paziente». L'arruolamento dei pazienti è previsto che duri 15 anni ne complesso l'Azienda tratterà dati personali per un periodo complessivo di 35 anni, di cui i primi 15 destinati all'arruolamento dei pazienti nonché allo svolgimento di specifici studi di ricerca e i successivi 20 anni impiegati solo per finalità di ricerca scientifica. Il Garante ha ritenuto che il tempo di conservazione indicato sia proporzionato rispetto alle finalità della raccolta tenuto conto delle motivazioni addotte dal titolare del trattamento. Il Garante ha richiesto, invece, di espungere la previsione riportata nel protocollo di una conservazione dei dati personali per 25 anni. La sopra citata previsione della durata di conservazione dei dati per 25 anni era stata desunta dalle disposizioni del Regolamento UE numero 536/2014 del Parlamento europeo e del Consiglio del 16 aprile 2014 sulla sperimentazione clinica di medicinali per uso umano. Il Garante ha evidenziato come tale normativa non trova applicazione nel caso in esame in quanto lo studio in oggetto non è farmacologico. Il provvedimento in esame è molto interessante e utile per chi svolge attività di ricerca in quanto costituisce un primo orientamento dell'autorità sull'istituzione del Data base , sulle tecniche di pseudonimizzazione e anonimizzazione , sui tempi di conservazione e sulla DPIA svolta dall'Azienda . Sull'utilizzo dei dati per fini secondari, tuttavia, l'orientamento può risultare è molto restrittivo in quanto richiede per ogni studio che sia condotto con dati estratti dal database sia chiesto uno specifico consenso, non ritenendo possibile chiedere un consenso iniziale per tutti gli studi condotti su tale database anche se fin dall'inizio è noto che tali studi saranno limitati ad una determinata patologia dichiarata al paziente. Il Garante prescrive inoltre che venga condotta una DPIA in relazione ai singoli studi consentendo al limite una DPIA per trattamenti simili, in tal modo esplicitando che ciò è la regola. Il provvedimento in esame richiama l'attenzione degli operatori sulla necessità di aggiornare il quadro normativo interno e in modo specifico le disposizioni dell' articolo 110 del Codice della privacy introdotto dal decreto di armonizzazione 101 del 2018. Secondo i ricercatori ricontattare i pazienti per richiedere un ulteriore consenso può rappresentare uno sforzo organizzativo complesso per la struttura di ricerca. La procedura attualmente prevista per gli studi retrospettivi dall' articolo 100 del Codice della privacy di acquisire il parere del Comitato etico, effettuare la valutazione di impatto, presentare l'istanza di consultazione preventiva al Garante rischia di rallentare la ricerca rispetto ad altri paesi europei e paralizzare i relativi finanziamenti. Tale procedura sembrerebbe non coerente con la visione del GDPR di favorire la circolazione dei dati e il progresso della società nel suo complesso.
Garante per la protezione dei dati personali, Parere 30 giugno 2022 [9791886]