Privacy e ricerca scientifica

Privacy e ricerca scientifica

di Chiara Agostini e Giacomo Pataracchia - Privacy e cybersecurity

Al giorno d’oggi, è sempre più importante realizzare un progetto di ricerca scientifica che metta il paziente al centro, sia per la tutela della sua salute, nel rispetto di principi etici condivisi, sia, altresì, per garantire il rispetto dei suoi diritti in materia di protezione dei dati personali.

In tal senso, il GDPR ha indicato diverse prescrizioni da adottare a tutela di tale particolare tipo di trattamento e il Comitato Europeo per la protezione dei dati (di seguito, “EDPB”), nei suoi due anni di costituzione, si è già espresso in merito in diverse occasioni, da ultimo nelle recenti linee guida sul trattamento dei dati relativi alla salute nel contesto dell’epidemia di Covid-19 adottate lo scorso 21 aprile (di seguito, “Linee Guida Covid-19”).

Inoltre, il legislatore italiano, avvalendosi della facoltà prevista dal GDPR, ha introdotto e mantenuto ulteriori previsioni con specifico riferimento al trattamento di dati genetici, dati biometrici o dati relativi alla salute nel D.Lgs. 101/2018 che ha modificato il D.Lgs. 196/2003, c.d. Codice Privacy, e nelle autorizzazioni generali.

I presupposti minimi ricavabili da questo complesso dedalo normativo, ai fini della conduzione di una attività di ricerca scientifica conforme alla normativa in materia di protezione dei dati, possono essere così sintetizzati:

  • predisposizione di un’informativa agli interessati, con la corretta individuazione della base giuridica del trattamento nonché l’esaustiva descrizione delle modalità e delle finalità di trattamento perseguite;
  • attivazione di procedure idonee a consentire l’esercizio dei diritti privacy da parte dei partecipanti;
  • preventiva valutazione di impatto;
  • rispetto delle misure di sicurezza richieste per il trattamento dei dati oggetto di raccolta e di quelle indicate nell’ambito della ricerca scientifica. A tal riguardo e a titolo esemplificativo, osserviamo che le Linee Guida Covid-19 identificano come misure di sicurezza minime la pseudoanonimizzazione dei dati, la criptazione, la minimizzazione dei dati raccolti, la stipulazione di accordi di riservatezza con i soggetti coinvolti, l’accesso alla banca dati unicamente a personale autorizzato e l’uso di file di log;
  • la consultazione con il Data Protection Officer;
  • la predisposizione di una sezione dedicata al trattamento per attività di ricerca scientifica nell’ambito del registro delle attività del trattamento;
  • l’individuazione e il rispetto di un determinato periodo di data retention per i dati raccolti ai fini della ricerca;
  • in caso di trasferimenti extra-UE di dati personali, il trasferimento dei dati (i) in paesi oggetto di una decisione di adeguatezza da parte della Commissione Europea (ad es. Svizzera, Giappone, etc.) oppure (ii) tramite misure adeguate (ad es. standard clauses) o (iii) in forza di una delle deroghe di cui all’art. 49 GDPR (ad es. trasferimento necessario per ragioni di pubblico interesse).

Considerata l’importanza e la complessità della materia, in ogni caso, diamo atto che l’EDPB ha preannunciato nelle proprie Linee Guida Covid-19, che ha in programma nel corso dell’anno l’elaborazione di nuove linee guida nell’ambito della ricerca scientifica, più armoniche e strutturate, che dovrebbero aiutare gli operatori del settore a meglio identificare le operazioni di trattamento consentite e le relative modalità di gestione dei dati.
Confidiamo quindi che a breve il perimetro di azione nel trattamento dei dati in ambito scientifico trovi una maggiore definizione.

Ciò premesso, osserviamo che uno degli aspetti fondamentali su cui si concentrano le Linee Guida Covid-19 e che rappresenta uno dei capisaldi su cui occorre strutturare i trattamenti in analisi, consiste nella individuazione della corretta base giuridica del trattamento dei dati personali, sottolineando come tale elemento sia strettamente collegato alla legittimità del trattamento stesso.

In particolare, le Linee Guida Covid-19 evidenziano la necessità di tener conto, qualora il titolare del trattamento intenda richiedere il consenso dell’interessato, della effettiva possibilità di ottenere un consenso libero, specifico, informato ed espresso.
Tale aspetto assume particolare rilevanza in quanto un consenso privo di tutte queste caratteristiche non può considerarsi valido.
L’EDPB pone l’accento, inoltre, sulla nullità del consenso qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento e il soggetto interessato possa soffrire di potenziali svantaggi qualora neghi la propria autorizzazione.

 

In caso di impossibilità di ottenere un consenso valido – e anche al fine di evitare la cessazione del trattamento dei dati in caso di revoca del soggetto interessato – , quindi, sottolineiamo l’importanza di verificare la possibilità di utilizzare ulteriori basi giuridiche legate, ad esempio, al rispetto della normativa nazionale applicabile.

L’individuazione della corretta base giuridica è stata oggetto di un apposito intervento dell’EDPB con l’opinion 3/2019 avente ad oggetto una particolare tipologia di ricerca scientifica: la sperimentazione clinica di medicinali ad uso umano.

In tale contesto, l’EDPB ha precisato, con riferimento all’utilizzo del consenso quale base giuridica del trattamento, che, a seconda delle circostanze della sperimentazione clinica, possono verificarsi situazioni di squilibrio di potere nella relazione tra il promotore/lo sperimentatore e i partecipanti, in particolare se il potenziale interessato appartiene a un gruppo economicamente o socialmente svantaggiato o si trova in una situazione di dipendenza istituzionale o gerarchica potenzialmente in grado di influire in maniera non appropriata sulla decisione di partecipare.
Tali situazioni possono invalidare il consenso prestato dal soggetto interessato.
Per ovviare a tali difficoltà nell’ottenere un consenso valido, l’EDPB propone l’utilizzo di altre basi giuridiche quali:

  • perseguimento di un interesse pubblico nell’ambito della sanità pubblica (art. 9, par. 2), lett. i) GDPR);
  • adempimento di un obbligo legale (art. 6, par. 1) lett. c) GDPR);
  • esecuzione di un compito di interesse pubblico (art. 6, par. 1) lett. e) GDPR);
  • finalità di ricerca scientifica sulla base del diritto dell’Unione Europea o nazionale (art. 9, par. 2), lett. j) GDPR);
  • legittimo interesse (art. 6, par. 1, lett. f) GDPR).

Alla luce di queste considerazioni, riteniamo auspicabile che l’attuale modello di contratto per la conduzione della sperimentazione clinica su medicinali tra promotore e centro di sperimentazione predisposto dal Centro di coordinamento nazionale dei comitati etici territoriali venga rivisito sotto un profilo privacy.
Questo in quanto tale contratto richiede al titolare del trattamento di ottenere sempre per iscritto il consenso informato del paziente al trattamento dei dati personali senza considerare la possibilità che il trattamento dei dati possa basarsi su ulteriori e diverse basi giuridiche, come invece indicato dall’EDPB a livello comunitario.