1. Home
  2. News e approfondimenti
  3. Norme e Diritto
  4. Regole deontologiche per trattamento dati dei pazienti a fini di ricerca
E-book
07 novembre 2024

Regole deontologiche per trattamento dati dei pazienti a fini di ricerca

07 novembre 2024
In primavera è stato riformato il Codice Privacy, con un impatto importante sul trattamento dei dati a fini statistici o di ricerca scientifica: gli operatori del settore sono in attesa delle nuove Regole Deontologiche da parte del Garante Privacy. A che punto siamo?

Sommario

  1. Il dato personale
  2. I principi alla base del trattamento dei dati personali
  3. L’art. 110 del Codice Privacy prima e dopo il 30 aprile 2024
  4. Il provvedimento del Garante Privacy n. 298 del 9 maggio 2024
  5. L’impossibilità di rintracciare i pazienti: motivi etici e motivi organizzativi
  6. Il principio di rappresentatività e l’individuazione delle categorie interessate alla sottoscrizione delle Regole Deontologiche
  7. L’interesse qualificato
  8. Le FAQ del Garante per gli IRCCS

Si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile: questa è la definizione che ci viene fornita dalla più importante e autorevole normativa in materia di privacy, cioè il Regolamento europeo sulla protezione dei dati personali (GDPR).

In parole semplici, rientrano nella definizione di dato personale tutte quelle informazioni che riguardano una persona fisica, come ad esempio il nome, il codice fiscale, l’immagine. Per comprendere se, nella pratica quotidiana, siamo in possesso di un dato personale, dobbiamo fare attenzione al contesto in cui operiamo: se, per ipotesi, siamo in possesso di un’informazione riguardante una persona fisica (nome e cognome), abbiamo la possibilità di incrociare questo dato con altre informazioni e da tale incrocio riusciamo a identificare quella determinata persona, siamo in possesso di un dato personale.

Visualizza e scarica l'eBook

In questo eBook scopri tutte le norme deontologiche in materia di trattamento dei dati ai fini statistici o di ricerca scientifica

Il dato personale

Sono dati personali i dati identificativi, vale a dire quelli che consentono di identificare direttamente il loro titolare: nome e cognome, codice fiscale, e-mail, indirizzo, indirizzo IP. 

All’interno del GDPR il legislatore europeo ha individuato, tra i dati personali, i cosiddetti dati particolari, cioè dei dati che necessitano di maggiore protezione in quanto afferenti informazioni molto delicate; i dati particolari sono soggetti al divieto di trattamento, perciò nessuno può raccoglierli, detenerli, conservarli o cederli a terzi, salvo dei casi eccezionali specificamente indicati dalla normativa.

Sono dati particolari:

  • I dati che rivelano l’originale razziale o etnica,
  • I dati che rivelano le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale,
  • I dati relativi alla vita sessuale o all’orientamento sessuale della persona,
  • I dati genetici e i dati biometrici,
  • I dati relativi alla salute.

Queste ultime tipologie di dati rientrano nella pratica quotidiana di chi opera nel settore medico, ed è perciò opportuno conoscerne la definizione normativa:

-I dati genetici sono i dati che si riferiscono alle caratteristiche genetiche, ereditarie o acquisite, di una persona che forniscano informazioni univoche sulla fisiologia o sulla sua salute, e che scaturiscano dall’analisi di un suo campione biologico;

-I dati biometrici sono, invece, tutti quei dati che vengono ottenuti da un trattamento specifico relativo alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, che ne consentano o ne confermino l’identificazione in maniera univoca; il tipico esempio è l’immagine del volto o l’impronta digitale, che spesso molti di noi utilizzano per sbloccare lo smartphone;

-I dati relativi alla salute, infine, sono tutti i dati attinenti la salute fisica o mentale di un soggetto - compresa la prestazione di servizi di assistenza sanitaria - che rivelino informazioni relative al suo stato di salute.

Il trattamento dei dati genetici, biometrici e di quelli relativi alla salute, di base, è vietato, salvo che si verifichi uno dei seguenti casi:

  1. L’interessato (cioè il paziente) ha prestato in maniera esplicita il consenso a trattare i suoi dati per una o più finalità specifiche (ad esempio per ottenere la consegna del referto di un esame diagnostico tramite e-mail);
  2. Sussistono dei motivi di interesse pubblico rilevante sulla base del diritto europeo o delle leggi vigenti nei singoli Stati membri dell’Unione Europea;
  3. Per finalità di medicina preventiva o di medicina del lavoro, per valutare la capacità lavorativa del dipendente, per finalità di diagnosi, assistenza o terapia sanitaria/sociale, per gestione dei sistemi e dei servizi sanitari o sociali (la cosiddetta finalità di cura);
  4. Per motivi di interesse pubblico nel settore della sanità pubblica (ad esempio per gestire un’emergenza sanitaria derivante da un terremoto o da una pandemia).

Il consenso dell’avente diritto, l’interesse pubblico o le finalità di medicina preventiva/del lavoro rappresentano quella che, in gergo tecnico, viene definita la base giuridica per poter trattare dati relativi alla salute. 

ll consenso dell’interessato è sicuramente la base giuridica maggiormente utilizzata per finalità di ricerca: si tratta di una manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, da conservare unitamente al progetto di ricerca.

Quando un soggetto viene coinvolto in una ricerca scientifica che ha, come base giuridica, il consenso, ha il diritto di ricevere l’informativa relativa al trattamento dei suoi dati personali, obbligatoria per il soggetto che promuove la ricerca, quale titolare del trattamento dei dati.

L’informativa deve essere chiara, semplice e specifica circa le attività del trattamento, e deve permettere all’interessato di conoscere e controllare le attività che saranno effettuate sui propri dati. 

Leggi anche

I principi alla base del trattamento dei dati personali

Il trattamento dei dati personali in ambito sanitario deve avvenire nel rispetto dei seguenti principi generali dettati dal GDPR per il trattamento dei dati personali:

  1. Liceità, correttezza e trasparenza: i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti di chi li ha forniti;
  2. Limitazione della finalità: i dati sono raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo compatibile con tali finalità; all’interno delle finalità iniziali può ricomprendersi anche un ulteriore trattamento dei dati personali ai fini di ricerca scientifica;
  3. Minimizzazione dei dati: i dati raccolti sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono stati trattati;
  4. Esattezza: i dati raccolti devono essere esatti e, se necessario, aggiornati; devono inoltre essere adottate tutte le misure ragionevoli per cancellare o rettificare con tempestività i dati inesatti rispetto alle finalità per cui sono stati raccolti e trattati;
  5. Limitazione della conservazione: i dati devono essere conservati in una forma tale da consentire l’identificazione di chi li ha forniti per un arco di tempo limitato, non superiore a quello necessario per conseguire le finalità per i quali sono stati trattati; possono anche essere conservati per periodi più lunghi, nei casi di ricerca scientifica;
  6. Integrità e riservatezza: i dati devono essere trattati in maniera tale da garantirne una adeguata sicurezza, compresa la protezione, tramite misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, nonché dalla perdita, distruzione o danno accidentali;
  7. Responsabilizzazione: il titolare del trattamento dei dati deve essere in grado di comprovare il rispetto dei suddetti principi.

L’art. 110 del Codice Privacy prima e dopo il 30 aprile 2024

Il trattamento dei dati relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico è disciplinato dall’art. 110 del Codice Privacy, in virtù del quale non è necessario il consenso dell’interessato per il trattamento dei dati ai fini di ricerca scientifica, purché sussistano due condizioni:

  1. che la ricerca sia condotta per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici,
  2. che la ricerca sia accompagnata da una valutazione d’impatto resa pubblica.

La norma non ritiene, inoltre, necessario il consenso del paziente per il trattamento dei dati ai fini di ricerca scientifica quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, come ad esempio nel caso di pazienti deceduti o non più contattabili.

In questi casi il titolare del trattamento dei dati – ad esempio un istituto di ricerca o un’università – ha il dovere di adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, e il programma di ricerca deve essere oggetto di motivato parere favorevole del competente comitato etico a livello territoriale.

Per le ricerche scientifiche in cui è impossibile informare gli interessati, fino al 30 aprile 2024 era inoltre necessario che il programma venisse sottoposto alla preventiva consultazione del Garante Privacy.

La situazione è però mutata a partire dal 1 maggio 2024, data in cui è entrata in vigore la riforma dell’articolo 110 del Codice Privacy introdotta con il decreto legge n.19/2024: la nuova norma ha eliminato l’obbligo a carico di chi effettua la ricerca e dato nuovi poteri al Garante Privacy.

In particolare, dal 1 maggio 2024 non è più necessario sottoporre un programma di ricerca alla preventiva consultazione dell’Autorità Garante; chi effettua ricerca, però, ha il dovere conformarsi alle Regole Deontologiche volte ad individuare garanzie adeguate per i diritti e le libertà del paziente in campo di ricerca medica e trattamento dei dati ai fini statistici. L’onere di adottare queste regole grava, naturalmente, sul Garante Privacy, che si è subito messo in movimento per individuare le norme e i principi da adottare.

Il provvedimento del Garante Privacy n. 298 del 9 maggio 2024

Con provvedimento n. 298 del 9 maggio 2024, pubblicato sulla Gazzetta Ufficiale della Repubblica n. 130 del 5 giugno 2024, il Garante per la protezione dei dati personali ha:

-individuato le garanzie per i trattamenti di dati personali relativi alla salute necessari a fini di ricerca medica, biomedica ed epidemiologica necessari quando, a causa di particolari ragioni, informare gli interessati e quindi acquisirne il consenso risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca,

-promosso la futura adozione, da parte sua, delle Regole Deontologiche per trattamenti di dati personali a fini statistici e di ricerca scientifica.

Nel suo provvedimento il Garante richiama le vecchie Regole Deontologiche adottate nel 2018 con il provvedimento n. 514, con il quale ha adattato il Codice di deontologia e di buona condotta al nuovo approccio alla protezione dei dati personali, basato sul rischio e sui principi di responsabilizzazione e di protezione dei dati sin dalla progettazione della ricerca scientifica o statistica.

Dal 2018 ad oggi sono stati ben 30 i provvedimenti del Garante in materia di ricerca scientifica (Cfr. provvedimenti del Garante del 20 giugno 2019, doc. web 9123447; 29 ottobre 2020, doc. web 951740; 10 dicembre 2020, doc. web 9520597, 17 settembre 2020, doc. web 9479364; 17 settembre 2020, doc. web 9479382; 17 settembre 2020, doc. web 9479364; 17 settembre 2020, doc. web 9479382; 1° novembre 2021, doc. web 9731827; 30 giugno 2022, doc. web 9791886; 24 novembre 2022, doc. web 9842737; 2 marzo 2023, doc. web 9875254; 22 giugno 2023, doc. web 9919244, 6 luglio 2023, doc. web 9919999; 18 luglio 2023, doc. web 9920977; 31 agosto 2023, doc. web 9936136; 28 settembre 2023, doc. web 9948285; 12 ottobre 2023 doc. web 9953841; 26 ottobre 2023, doc. web 9960973; 26 ottobre 2023 doc. web 9963509; 7 dicembre 2023, doc. web n. 9971457; 16 novembre, doc. web 99835017; 7 dicembre doc. web 9971457; 21 dicembre 2023 doc. web 9979453, 24 gennaio 2024 doc. web 9988614, 22 febbraio 2024, doc. web 9997356), dovuti soprattutto al fatto che questa pratica fondamentale si avvale sempre più dell’utilizzo di nuove tecnologie: era perciò emersa da tempo l’esigenza di adottare nuove Regole Deontologiche, e la riforma dell’art. 110 del Codice Privacy ha dato l’assist al Garante per individuare nuove garanzie per il trattamento dei dati in campo di ricerca scientifica e statistica.

 

Leggi anche

L’impossibilità di rintracciare i pazienti: motivi etici e motivi organizzativi

Con il provvedimento del 9 maggio scorso il Garante Privacy, nell’attesa di approvare definitivamente le nuove Regole Deontologiche, ha inteso comunque individuare le garanzie necessarie per i trattamenti di dati sulla salute per finalità di ricerca medica, biomedica ed epidemiologica riferiti a soggetti deceduti o non contattabili, dando la definizione dei motivi etici o organizzativi che rendono non più reperibili i soggetti.

Il Garante ha definito motivi etici quelli riconducibili al fatto che il soggetto interessato (cioè il paziente) ignora la propria condizione, poiché non sa di essere oggetto di ricerca medica. Rientrano all’interno di questa categoria quel tipo di ricerche per cui far sottoscrivere un’informativa sul trattamento dei dati personali al soggetto da studiare comporterebbe la rivelazione di notizie sulla ricerca stessa, e tale conoscenza potrebbe arrecare un danno (materiale o psicologico) agli stessi soggetti studiati.

Si parla di motivi di impossibilità organizzativa, invece, quando la mancata raccolta dei dati riferiti ai soggetti “oggetto” di ricerca impossibili da contattare, rispetto al numero complessivo dei soggetti da arruolare nella ricerca, produrrebbe delle conseguenze negative, in termini di qualità dei risultati, per la ricerca stessa.

Nell’individuazione dei motivi di impossibilità organizzativa si tiene conto:

-dei criteri di inclusione previsti dalla ricerca,

-delle modalità di arruolamento dei soggetti da studiare,

-della numerosità statistica del campione prescelto,

-del periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati (i pazienti) sono stati originariamente raccolti.

Ulteriori motivi di impossibilità organizzativa sono individuati dal Garante nelle seguenti circostanze, da considerarsi residuali:

  1. nel caso in cui contattare gli interessati dalla ricerca implicherebbe uno sforzo sproporzionato a causa della elevata numerosità del campione da studiare,
  2. nell’ipotesi in cui all’esito di ogni ragionevole sforzo compiuto dal titolare della ricerca per contattare i pazienti (ad esempio attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’utilizzo dei recapiti telefonici forniti e l’acquisizione di dati di contatto accessibili a tutti, come quelli che si prendono dalla classica guida telefonica) questi risultino, al momento in cui vengono arruolati per lo studio, deceduti o non contattabili.

I motivi che rendono impossibile rintracciare i pazienti, siano essi etici oppure organizzativi, devono essere specificamente motivati e documentati all’interno del progetto di ricerca, con specificazione della sussistenza delle ragioni per cui informare gli interessati e acquisirne il consenso risulti impossibile o implichi uno sforzo sproporzionato, oppure rischi di inficiare la finalità di ricerca rendendola impossibile o pregiudicandola gravemente; l’ente di ricerca dovrà adeguatamente documentare tutti gli “sforzi” fatti per cercare di contattare i pazienti, ad esempio fornendo prova delle email o dei certificati di esistenza in vita/morte.

Il principio di rappresentatività e l’individuazione delle categorie interessate alla sottoscrizione delle Regole Deontologiche

In virtù del principio di rappresentatività, sancito dall’art. 2 quater del Codice Privacy, il Garante, nell’adottare le Regole Deontologiche per il trattamento dei dati ai fini di ricerca scientifica o statistica, ha il dovere di verificarne la conformità alla normativa attualmente vigente anche attraverso l’esame delle osservazioni dei soggetti interessati.

Sono soggetti interessati dalle Regole Deontologiche tutti i soggetti proponenti, istituzionalmente o statutariamente, dei progetti di ricerca medica:

  • università,
  • enti o istituti di ricerca,
  • società scientifiche,
  • ricercatori che operano all’interno delle università,
  • enti, istituti di ricerca e soci di società scientifiche,
  • istituti di ricovero e cura a carattere scientifico,
  • fondazioni enti morali di ricerca,
  • enti pubblici istituzionalmente competenti al perseguimento di tali compiti.

Il Codice Privacy prevede che lo schema di Regole Deontologiche sia sottoposto alla consultazione pubblica di tali soggetti per almeno sessanta giorni, decorsi i quali le Regole sono definitivamente approvate dal Garante e pubblicate nella Gazzetta Ufficiale della Repubblica italiana per essere poi inserite all’interno dell’allegato A del Codice Privacy quale condizione essenziale per la liceità e correttezza del trattamento dei dati personali ai fini statistici e di ricerca scientifica.

Con la delibera del 9 maggio 2024 il Garante ha invitato tutti i soggetti interessati a fornire informazioni e documentazione idonee a comprovare la loro rappresentatività, entro 60 giorni dalla pubblicazione della delibera sulla Gazzetta Ufficiale (scadenza termine 5 agosto 2024), dandone apposita comunicazione al Garante all’indirizzo pec protocollo@pec.gpdp.it.

 

Leggi anche

L’interesse qualificato

Spetta al Garante Privacy la valutazione della sussistenza, in capo ai soggetti interessati dall’applicazione delle Regole Deontologiche, di un interesse qualificato, e ciò anche nel caso in cui tali soggetti non siano formalmente tenuti alla sottoscrizione: l’esempio tipico è quello dell’associazione di malati, che vanta un interesse qualificato alla ricerca scientifica su una determinata malattia.

Con il provvedimento del maggio 2024 il Garante, mediante la pubblicazione sulla Gazzetta Ufficiale, che rende noto a tutti un provvedimento (con l’effetto della cosiddetta pubblicità-notizia) il Garante ha invitato anche i soggetti che si ritengono titolari di un interesse qualificato a darne comunicazione a mezzo pec, nel termine di 60 giorni dalla pubblicazione in Gazzetta, all’indirizzo protocollo@pec.gpdp.it, chiedendo inoltre di fornire idonea documentazione atta a comprovare la sussistenza dell’interesse qualificato alla ricerca medico scientifica o statistica.

Le FAQ del Garante per gli IRCCS

Gli IRCCS sono enti del SSN a rilevanza nazionale, dotati di autonomia e personalità giuridica, che secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità.

Gli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS) rientrano tra i soggetti qualificati individuati dal Garante per partecipare alla consultazione sulle Regole Deontologiche, in quanto trattasi di soggetti che per espressa previsione di legge (decreto legislativo n. 288/2003) perseguono, quale fine primario, quello della ricerca.

Considerata la natura degli IRCCS e il fatto che tali istituti nascono con primaria finalità di ricerca, il Garante lo scorso 6 giugno ha pubblicato delle FAQ con cui chiarisce che gli IRCCS possono trattare dati personali per finalità di ricerca anche senza il consenso dei pazienti, permanendo comunque l’obbligo informativo nei loro confronti.

Il Garante precisa che gli IRCSS devono:

  • individuare la base giuridica per il trattamento dei dati personali tra quelle previste dal GDPR ritenute idonee a legittimare il trattamento dei dati per la realizzazione dei progetti di ricerca scientifica,
  • identificare compiutamente il motivo per cui possono derogare al generale divieto di trattare dati sulla salute o dati genetici, razziali, etnici, sulle abitudini di vita e sessuali.

Gli IRCCS possono fondare i trattamenti sul consenso informato degli interessati oppure sul carattere strumentale dell’attività di assistenza sanitaria da loro svolta rispetto alla ricerca scientifica, invocando l’art. 110 bis comma 4 del Codice privacy, evitando in questo modo di raccogliere il consenso dell’interessato, individuando quale base giuridica per il trattamento dei dati quello di “finalità di cura per ulteriori finalità di ricerca”.

Gli IRCCS devono, tuttavia, obbligatoriamente svolgere una Valutazione di impatto (VIP), pubblicandola sui propri siti web e rendendola così accessibile a chiunque; nel caso in cui la VIP possa ledere diritti di proprietà intellettuale o segreti commerciali, l’IRCCS può pubblicarla per estratto. In ogni caso, la mancata pubblicazione della VIP comporta l’applicazione, da parte del Garante Privacy, di una sanzione amministrativa pecuniaria effettiva, proporzionata e dissuasiva, da valutare caso per caso.

Gli IRCCS dovranno adempiere ai propri obblighi informativi nei confronti dei soggetti che costituiscono il campione della ricerca fornendo loro un’apposita informativa; nel caso in cui sia impossibile identificare i soggetti, potranno omettere l’informativa, nel rispetto delle Regole Deontologiche in fase di stesura da parte del Garante.

Ad oggi le Regole Deontologiche sono ancora in fase di elaborazione: Consulcesi seguirà con attenzione le attività del Garante Privacy, per tenere aggiornati i propri iscritti sulla materia.

Di: Manuela Calautti, avvocato

Argomenti correlati

PrivacyGestione studioStudi e ricerche

News e approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

    Contatti

    Via G.Motta 6, Balerna CH
    PEC: consulcesisa@legalmail.it

    Social media

    Termini e condizioni

    • Consulcesi SA
    • Via G.Motta 6, Balerna CH
    • 259458377
    • +41 916952060
    • PEC: consulcesisa@legalmail.it