L’Autorità garante per la protezione dei dati personali (il “Garante”) ha recentemente adottato una deliberazione al fine di individuare le garanzie per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica quando non è possibile acquisire il consenso dell’interessato, promuovendo altresì l’adozione di nuove regole deontologiche ai sensi degli artt. 2-quater e 106 del Codice Privacy (la “Deliberazione”). La Deliberazione è frutto della recente riforma introdotta dall’art. 44, comma 1-bis del D.L. 19/2024 che ha emendato l’art. 110 del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2008 (il “Codice Privacy”). Tale riforma, quindi, sta iniziando a produrre i suoi primi effetti. Ma quali sono le garanzie che i centri di sperimentazione devono osservare per poter svolgere uno studio clinico c.d. retrospettivo? Il quadro normativo di riferimento La riforma dell’art. 110 del Codice Privacy ha segnato un punto di svolta a favore degli studi clinici retrospettivi – i.e quella peculiare categoria di studi clinici in cui vengono utilizzati dati sanitari già disponibili presso i centri di sperimentazione e che spesso coinvolgono interessati ai quali è ormai impossibile chiedere il consenso –, superando il precedente approccio consenso-centrico e segnando così il passaggio da un regime di autorizzazione preventiva ad un regime privo di autorizzazione (per un maggior approfondimento sulla riforma dell’art. 110 del Codice Privacy, si veda il nostro precedente contributo, disponibile qui). Oggi, infatti, chiunque effettui attività di ricerca – qualora risulti impossibile informare gli interessati o tale obbligo informativo comporti uno sforzo sproporzionato, oppure rischi di pregiudicare i risultati dello studio retrospettivo – non è più tenuto a sottoporre il progetto di ricerca e la relativa valutazione d’impatto alla consultazione preventiva del Garante di cui all’art. 36 del Regolamento (UE) 679/2016 (il “GDPR”). In tali casi, è invece sufficiente ottenere il parere favorevole sul progetto di ricerca del competente comitato etico e osservare le garanzie adottate dal Garante nell’ambito delle regole deontologiche sul trattamento dei dati personali per tali fini. Le regole deontologiche attualmente applicabili sono contenute nel provvedimento 515/2018 del Garante e costituiscono l’allegato A5 al Codice Privacy (l’“Allegato A5”). Tuttavia, a fronte dell’evoluzione del contesto di riferimento, caratterizzato da un cambiamento sostanziale delle modalità di realizzazione dell’attività di ricerca medica, sempre più supportata dall’utilizzo delle nuove tecnologie, il Garante ha sottolineato la necessità urgente di adottare nuove regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica. Le garanzie da applicare ai sensi dell’art. 110 del Codice Privacy Nelle more dell’approvazione delle nuove regole deontologiche e ferma restando la vigenza dell’Allegato A5 del Codice Privacy, il Garante ha individuato delle garanzie da osservare nei casi in cui viene svolto un trattamento di dati personali relativi salute di cui all’art. 9 del GDPR per scopi di ricerca medica, biomedica ed epidemiologica e per il quale non è possibile acquisire il consenso degli interessati. Nello specifico, gli interessati in questione sono soggetti deceduti o non contattabili per due diversi ordini di motivi: Rientrano in questa categoria le ricerche mediche, biomediche ed epidemiologiche per le quali la consegna all’interessato dell’informativa privacy comporterebbe la rivelazione di notizie relative alla conduzione dello studio e la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati; Si configura impossibilità organizzativa quando – avuto riguardo ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti – non utilizzare i dati relativi ai soggetti non contattabili produrrebbe conseguenze significative sulla qualità dei risultati della ricerca. Il Garante ricomprende in questa categoria due ordini di motivi. Da un lato, quelli derivanti dalla circostanza, da considerarsi del tutto residuale, che contattare gli interessati implicherebbe uno sforzo sproporzionato in considerazione dell’elevato numero del campione oggetto della ricerca; dall’altro quelli derivanti dalla circostanza, alternativa alla precedente, che gli interessati risultino deceduti o non contattabili nonostante il titolare abbia compiuto ogni ragionevole sforzo per contattarli. In tale contesto, ciò significa che il titolare del trattamento dovrà verificare lo stato in vita degli interessati, consultare i dati della documentazione clinica, utilizzare i recapiti telefonici eventualmente forniti nonché acquisire dati di contatto pubblicamente accessibili. Il Garante precisa altresì che, in tali casi, il titolare del trattamento – oltre a rispettare i requisiti normativi previsti dall’art. 110 del Codice Privacy e adottare misure appropriate a tutelare i diritti, le libertà e gli interessi legittimi degli interessati – nel progetto di ricerca dovrà accuratamente motivare e documentare la sussistenza delle ragioni etiche o organizzative per le quali acquisire il consenso risulti impossibile o implichi uno sforzo sproporzionato, oppure rischi di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità di ricerca. Infine, alla luce del principio di accountability, il Garante raccomanda di documentare i ragionevoli sforzi compiuti dal titolare nel tentativo di contattare gli interessati. Il promovimento delle nuove regole deontologiche Nella Deliberazione, il Garante ribadisce infine che le regole deontologiche devono essere promosse sulla base del principio di rappresentatività (art. 2-quater del Codice Privacy). Tale principio deve ritenersi soddisfatto sulla base della natura giuridica dei soggetti proponenti, istituzionalmente o statutariamente tenuti allo svolgimento di ricerche mediche. Rientrano in tale categoria le università e gli altri enti o istituti di ricerca, le società scientifiche, i ricercatori che operano in tali ambiti, gli istituti di ricovero e cura a carattere scientifico, le fondazioni morali di ricerca, nonché gli enti pubblici istituzionalmente competenti al raggiungimento di tali compiti. Inoltre, possono proporre la propria partecipazione all’adozione delle regole deontologiche, pur non potendole sottoscrivere, anche tutti quei soggetti che sono interessati alla loro applicazione, quali, ad esempio, le associazioni di malati. Questi ultimi dovranno comunicare al Garante tale intenzione, fornendo le informazioni e la documentazione atta a comprovare il proprio interesse qualificato alla materia. Tutti i soggetti proponenti dovranno inviare le rispettive comunicazioni al Garante (all’indirizzo PEC protocollo@pec.gpdp.it) entro il termine di 60 giorni dalla pubblicazione della Deliberazione in Gazzetta Ufficiale.
