Trattamento dei dati sulla salute per scopi di ricerca: le garanzie da osservare quando non è possibile acquisire il consenso degli interessati
Published on 25th Jun 2024
L'intervento del Garante Privacy a seguito della modifica dell'articolo 110 del Codice Privacy che ha semplificato le procedure nella ricerca scientifica
Il 5 giugno u.s., è stato pubblicato in G.U. il provvedimento del Garante Privacy n. 298/2024 che ha dettato le garanzie da osservare per il trattamento dei dati sulla salute per scopi di ricerca medica, biomedica ed epidemiologica, nei casi in cui non è possibile acquisire il consenso degli interessati.
Il provvedimento si è reso necessario dopo la modifica dell'articolo 110 del Codice in materia di protezione dei dati personali (il "Codice Privacy”), introdotta dalla legge n. 56/2024, di conversione del d.l. n. 19 del 2/03/2024 (cd. "Decreto PNRR"), pubblicata in G.U. il 30/04/2024 e recante ulteriori disposizioni urgenti per l’attuazione del PNRR.
Il Decreto PNRR
Il Decreto PNRR, convertito in legge n. 56/2024, al capo X recante “Disposizioni urgenti In materia di investimenti del ministero della salute”, introduce alcune modifiche al Codice Privacy. In particolare, l’articolo 44 prevede delle modifiche in relazione ai dati sanitari e, nello specifico:
- il comma 1-bis modifica l'articolo 110, comma 1 del Codice Privacy e stabilisce che, nei casi in cui è ammesso il trattamento di dati personali relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, senza il consenso dell'interessato, il Garante per la protezione dei dati personali individua le garanzie da osservare (non essendo più necessaria la preventiva consultazione del Garante ai sensi dell'articolo 36 del GDPR);
- il comma 1, che modifica l’art. 2-sexies del Codice Privacy sostituendo il comma 1-bis e aggiungendo il comma 1-ter, rivede la disciplina del trattamento mediante interconnessione dei dati personali relativi alla salute, pseudonomizzati, rinviando, quanto alle modalità del trattamento e alla regolazione dell'interconnessione, a decreti del Ministro della salute, da adottarsi previo parere del Garante per la protezione dei dati personali;
- il comma 2 precisa che agli oneri derivanti dall'attuazione del comma 1 si provvederà a valere sulle risorse del PNRR destinate alla Missione «Salute».
Modifica dell’art. 110 del Codice Privacy
A seguito della modifica introdotta dal Decreto PNNR, convertito in n. 56/2024, l’art. 110 ("Ricerca medica, biomedica ed epidemiologica") del Codice Privacy recita come segue:
“1. Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e ie legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento. Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del presente codice."
La nuova formulazione dell'art. 110 del Codice Privacy elimina quindi il requisito obbligatorio dell’autorizzazione preventiva del Garante della privacy al programma di ricerca, che viene sostituito dal rispetto delle garanzie indicate dal Garante nell'ambito delle regole deontologiche sul trattamento di dati per fini di ricerca.
In particolare, il consenso dell'interessato non è necessario quando: i) la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del GDPR; ii) a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In questi casi:
• il titolare del trattamento deve adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato;
• il programma di ricerca deve essere oggetto di motivato parere favorevole del competente comitato etico a livello territoriale.
In tutti i suddetti casi, quindi, il Garante Privacy individua le garanzie da osservare nell'ambito delle Regole deontologiche sul trattamento di dati per fini di ricerca.
Le regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice Privacy
Con il provvedimento del Garante Privacy n. 298 del 9/05/2024, pubblicato sulla G.U. n. 130 del 5/06/ 2024, il Garante Privacy ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica, riferiti a pazienti deceduti o non contattabili per motivi:
- etici, per tali intendendosi quelli riconducibili alla circostanza che l’interessato ignora la propria condizione (i.e. le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie riguardanti lo studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati); oppure
- di impossibilità organizzativa, per tali intendendosi quelli: i) riconducibili alla circostanza che la mancata raccolta dei dati riferiti agli interessati irreperibili, rispetto al numero complessivo dei soggetti che si intendono arruolare nella ricerca, produrrebbe conseguenze significative per i risultati della ricerca stessa; ii) derivanti dalla circostanza che contattare gli interessati implicherebbe uno sforzo sproporzionato considerata l'elevata numerosità o, alternativamente, quelli che all’esito di ogni ragionevole sforzo compiuto per contattarli risultino deceduti o non contattabili al momento dell’arruolamento nello studio.
Il Garante Privacy ha stabilito che in tutti questi casi il titolare del trattamento, nel progetto di ricerca, oltre al già previsto obbligo di acquisire il parere favorevole del competente Comitato etico a livello territoriale, deve
- motivare e documentare le ragioni etiche o organizzative in base alle quali non ha potuto acquisire il consenso degli interessati;
- effettuare e pubblicare la valutazione di impatto ai sensi dell’art. 35 del GDPR, dandone comunicazione al Garante.
Con lo stesso provvedimento il Garante ha promosso l’avvio della procedura per l’adozione delle nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica invitando
- i soggetti pubblici e privati, aventi titolo a sottoscrivere le nuove Regole deontologiche
- i portatori di un interesse qualificato, che intendono partecipare ai lavori
a darne comunicazione e a fornire informazioni e documentazione all’indirizzo protocollo@pec.gpdp.it, entro 60 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale.
Commento Osborne Clarke
La modifica dell'art. 110 del Codice Privacy, insieme alle prime regole deontologiche dettate dal Garante Privacy, sono di fondamentale importanza per la semplificazione dei procedimenti per gli studi osservazionali retrospettivi che, basandosi su dati raccolti precedentemente alla decisione di intraprendere gli studi scientifici, vengono spesso ostacolati dall'impossibilità di ottenere il consenso dell'interessato. L'eliminazione dell'obbligo di consultazione con il Garante Privacy rende più agevole la procedura e favorisce decisamente la ricerca scientifica in Italia. Infatti, i promotori di progetti di ricerca vengono esonerati da questo adempimento che imponeva un gravoso iter per l’autorizzazione degli studi osservazionali retrospettivi (già approvati dal competente Comitato Etico).
Restando fermo l’obbligo per il titolare di analizzare i rischi del trattamento dei dati personali in una valutazione d’impatto e di definire misure idonee a mitigarli, la siffatta modifica non incide negativamente sulla protezione dei dati personali e il livello di accountability necessario.