IRCCS e trattamento dei dati personali: le FAQ del Garante Privacy
Published on 16th Jul 2024
Trattamento da parte degli IRCCS dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca
Il 6 giugno 2024, il Garante per la protezione dei dati personali ha pubblicato le FAQ sui “Presupposti giuridici e principali adempimenti per il trattamento da parte degli IRCCS dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca”.
Le FAQ forniscono chiarimenti per il trattamento dei dati da parte degli Istituti di ricovero e cura a carattere scientifico ("IRCSS") che, riprendendo la definizione di cui all'art. 1 del d.lgs. n. 288/2003, sono "enti del Servizio sanitario nazionale a rilevanza nazionale dotati di autonomia e personalità giuridica che, secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell'organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità".
In particolare, il documento del Garante spiega i presupposti giuridici per il trattamento dei dati personali raccolti per la cura dei pazienti per ulteriori finalità di ricerca e gli adempimenti che gli IRCSS sono tenuti a rispettare.
Gli IRCCS devono individuare una base giuridica idonea a legittimare il trattamento e una deroga appropriata al generale divieto di trattare i dati sulla salute e genetici.
Il Garante chiarisce che gli IRCCS pubblici e privati possono individuare quale base giuridica del trattamento dei dati personali:
- il consenso dei partecipanti alla ricerca; oppure
- l’art. 110-bis, comma 4 del d.lgs. 196/2003 ("Codice Privacy") in base al quale non costituisce trattamento ulteriore il trattamento dei dati personali raccolti per l’attività clinica a fini di ricerca in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti.
Nel caso in cui il trattamento si basi sul citato art. 110-bis, comma 4 del Codice Privacy, gli IRCCS sono tenuti ad effettuare la valutazione d'impatto ("VIP"), come previsto dall'art. 110 del Codice Privacy per i casi in cui la ricerca è effettuata in base a disposizioni di legge (v. qui) e pubblicarla sul proprio sito web. Tuttavia, se la pubblicazione per intero della VIP può ledere diritti di proprietà intellettuale, segreti commerciali o altro, l’IRCCS può pubblicarla per estratto.
Qualora dalla VIP emerga che il trattamento presenti un rischio elevato in assenza di misure adottate per attenuarlo, gli IRCCS devono svolgere obbligatoriamente la consultazione preventiva del Garante ai sensi dell’art. 36 del GDPR.
Le FAQ dedicano un'apposita sezione alle diverse modalità per informare i partecipanti alla ricerca a seconda che i dati siano raccolti presso gli interessati, presso banche dati interne all’istituto o altri centri partecipanti.
In conclusione, il Garante specifica che il citato art. 110-bis, comma 4, si applica ad ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento.