skip to Main Content
I Provvedimenti Del Garante Privacy Nel Quadro Ue: Dati Personali In Sanità E Per La Ricerca

I provvedimenti del Garante Privacy nel quadro Ue: Dati personali in Sanità e per la ricerca

Gli ambiti di applicazione dei provvedimenti del Garante privacy sui trattamenti di dati personali in ambito sanitario e a fini di ricerca scientifica adottati dal Garante tra dicembre 2016 e marzo 2019 e come si iscrivono nel quadro normativo risultante dalle disposizioni del GDPR. Tutto quello che c’è da sapere.

Per garantire la libera circolazione dei dati personali all’interno dell’Ue, è essenziale che le autorità nazionali interpretino e applichino le norme del GDPR in modo quanto più possibile uniforme.  È pertanto auspicabile che, nell’applicare le disposizioni del GDPR e nell’adottare le misure di garanzia per il trattamento dei dati relativi alla salute, il Garante tenga conto dell’indirizzo interpretativo che si sta delineando a livello europeo.

Sembra utile, quindi, delineare qui i rispettivi ambiti di applicazione dei provvedimenti sui trattamenti di dati personali in ambito sanitario e a fini di ricerca scientifica adottati dal Garante tra dicembre 2016 e marzo 2019 e vedere come essi si iscrivano nel quadro normativo risultante dalle disposizioni del GDPR, come interpretate dal Comitato europeo per la protezione dei dati (EDPB) ed integrate da quelle del Codice della privacy.

I provvedimenti sui trattamenti di dati personali in ambito sanitario e a fini di ricerca scientifica

I provvedimenti adottati dal Garante italiano sui trattamenti di dati personali in ambito sanitario e a fini di ricerca scientifica chiariscono l’impatto del rinnovato quadro normativo europeo in tema di protezione dei dati personali su attività rilevanti per la tutela della salute(pubblica e individuale) e per lo sviluppo della ricerca scientifica.

Si tratta del provvedimento n. 497 del 13 dicembre 2018, che individua le prescrizioni relative al trattamento dei dati personali per scopi di ricerca scientifica, contenute nell’Autorizzazione generale n. 9/2016, ritenute compatibili con il Regolamento generale sulla protezione dei dati 2016/679 (GDPR) e con il D.lgs. n. 101/2018 (che ha novellato il D.lgs. n. 196/2003, c.d. Codice della privacy, per allinearlo con il Regolamento); del provvedimento n. 515 del 19 dicembre 2018, recante le regole deontologiche per i trattamenti di dati personali a fini statistici o di ricerca scientifica, e del provvedimento n. 55 del 7 marzo 2019, che fornisce chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario.

Come risulta dai loro titoli, questi provvedimenti del Garante riguardano trattamenti di dati personali che presentano alcune analogie, perché, ad esempio, sono effettuati dagli stessi professionisti o per scopi simili o hanno ad oggetto i medesimi dati. Ciononostante si tratta di provvedimenti che hanno ambiti di applicazione distinti e in ragione di ciò recano previsioni alquanto diverse.

Ai sensi del GDPR, il trattamento dei dati relativi alla salute è consentito solo in presenza di determinati presupposti, previsti dall’art. 9, commi 2 e 3 del GDPR, nonché alle condizioni ed entro i limiti eventualmente stabiliti dagli Stati membri (art. 9, comma 4 del GDPR).

Il Codice della privacy demanda al Garante l’individuazione delle “misure di garanzia” per il trattamento dei dati sulla salute, quali, ad esempio, le misure di sicurezza e di minimizzazione, specifiche modalità per l’accesso selettivo ai dati e per rendere l’informativa agli interessati, nonché eventuali misure necessarie a garantire i diritti degli interessati (art. 2-septies).

Nell’adottare tali misure il Garante dovrà attenersi ai criteri indicate dal legislatore, tra cui quello di tutelare l’«interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea» (art. 2-septies, comma 2 del Codice della privacy). Questo richiamo di una delle finalità del GDPR – posta sullo stesso piano dell’altra, che consiste nel proteggere i diritti e le libertà degli individui con riguardo al trattamento dei dati personali – è oltremodo opportuno, in quanto sottolinea l’esigenza di preservare quanto più possibile l’uniformità della disciplina dei dati personali all’interno dell’UE in modo da facilitare la condivisione dei dati tra i soggetti stabiliti in diversi Stati membri. Tale esigenza è particolarmente evidente in ambito sanitario (per via, ad esempio, della mobilità dei pazienti) e nella ricerca medico-scientifica (dove la qualità e l’attendibilità dei risultati è legata alla disponibilità di un numero elevato di dati clinici).

Il Garante ha avviato la redazione dei provvedimenti recanti le misure di garanzia. Nel frattempo, esso ha individuato le previsioni contenute nelle Autorizzazioni generali – elaborate prima che il GDPR fosse applicabile – ritenute compatibili con quest’ultimo. Tali previsioni – oltre ad essere ancora oggetto di consultazione pubblica – hanno carattere provvisorio (essendo destinate ad essere sostituite dalle misure di garanzia), perché il GDPR non prevede che l’autorità di controllo abbia il potere di autorizzare preventivamente dei trattamenti di dati personali. Siffatto potere autorizzatorio appare in contrasto specialmente con il principio di «responsabilizzazione» del titolare del trattamento, in base al quale spetta a quest’ultimo sincerarsi della conformità al GDPR dei trattamenti dei dati che ricadono nella sua sfera di controllo.

Con riguardo ai trattamenti di dati relativi alla salute, il Codice della privacy prevede che il Garante (oltre ad adottare “misure di garanzia”) debba promuovere l’adozione di regole deontologiche (art. 2-quater). Pertanto, il Garante ha verificato la compatibilità con il GDPR delle disposizioni contenute nel Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, che era allegato al Codice della privacy prima che divenisse applicabile il GDPR.

Inoltre, il Garante, esercitando uno dei compiti ad esso spettanti in forza del GDPR – quello di favorire la consapevolezza e la consapevolezza da parte del pubblico dei rischi, delle norme, delle garanzie e dei diritti inerenti al trattamento dei dati e la comprensione da parte dei titolari del trattamento e dei responsabili del trattamento degli obblighi ad essi imposti dal GDPR (art. 57, comma 1, lett. b e d) – ha reso dei chiarimenti sull’applicazione delle norme del GDPR ai trattamenti dei dati sulla salute in ambito sanitario.

Trattamento dei dati per scopi di ricerca: ambito di applicazione e rapporto con le norme Ue

Le prescrizioni relative al trattamento dei dati personali per scopi di ricerca scientifica concernono il trattamento effettuato per finalità di ricerca medica (o anche biomedica ed epidemiologica) da università e società scientifiche e dai ricercatori che operano presso di esse, da esercenti le professioni sanitarie e organismi sanitari, nonché da soggetti di natura privata («persone fisiche o giuridiche, enti, associazioni e organismi privati») e soggetti da essi specificamente preposti al trattamento (come ricercatori, monitor, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi), che sia necessario per la conduzione di studi effettuati sulla base di un protocollo oggetto di parere favorevole del Comitato etico con dati raccolti in precedenza a fini di cura o per l’esecuzione di precedenti progetti di ricerca (o ricavati da campioni biologici prelevati in precedenza a fini di cura o per l’esecuzione di precedenti progetti di ricerca) ovvero con dati relativi a persone che, a causa della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso.

Siffatto trattamento di dati non richiede il consenso degli interessati se la ricerca è svolta in base a disposizioni normative europee o nazionali. In mancanza di tale condizione, i titolari del trattamento devono acquisire il consenso degli interessati o essere in grado di dimostrare la sussistenza di circostanze eccezionali che rendono impossibile o eccessivamente oneroso rendere l’informativa e chiedere il consenso agli interessati e il fatto che la mancata utilizzazione dei dati di tali persone rischierebbe di impedire o pregiudicare gravemente il conseguimento delle finalità della ricerca.

Il Garante ha prefigurato le circostanze che possono giustificare la deroga al requisito del consenso degli interessati ai fini del trattamento dei loro dati per scopi di ricerca scientifica. Si tratta, in particolare, di «motivi etici» per i quali si debba evitare che gli interessati apprendano notizie riguardanti la conduzione dello studio la cui conoscenza possa causare loro danni materiali o psicologici; di «motivi di impossibilità organizzativa», nel senso che la mancata considerazione dei dati dei soggetti di cui non si può acquisire il consenso, in quanto deceduti o non reperibili, comprometterebbe i risultati dello studio; di «motivi di salute riconducibili alla gravità dello stato clinico» che rendono impossibile per gli interessati comprendere l’informativa e prestare un valido consenso. In quest’ultima ipotesi, occorre altresì che lo studio sia volto al miglioramento dello stato clinico in cui versano gli interessati.

Le prescrizioni in questione appaiono in linea con l’art. 110 del novellato Codice della privacy, a mente del quale «il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea (…) ovvero a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca». Tuttavia, le prescrizioni del Garante sembrano avere un ambito di applicazione più limitato rispetto al citato art. 110, in quanto si riferiscono a trattamenti di dati già acquisiti per finalità di cura o di ricerca, salvo che si tratti di dati di persone incapaci di comprendere l’informativa ed esprimere il proprio consenso.

Tra l’altro, riguardo al trattamento dei dati di persone incapaci o non reperibili, l’art. 110-bisdel Codice prevede che il Garante possa autorizzare il «trattamento ulteriore di dati personali» (inclusi quelli relativi alla salute) a fini di ricerca scientifica da parte di soggetti terzi (ossia diversi dai titolari del trattamento originari), che svolgano principalmente attività di ricerca, «quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca». Come si è detto, siffatto potere autorizzatorio non è contemplato dal GDPR e stride con uno dei suoi principi cardine, per cui, ai sensi del diritto dell’UE, il Garante dovrebbe astenersi dall’esercitare tale potere.

Tornando alle prescrizioni relative al trattamento dei dati per scopi di ricerca scientifica, esse sono certamente applicabili al trattamento dei dati necessario per la conduzione di una sperimentazione clinica di medicinali per uso umano (che resta disciplinata dai Decreti legislativi n. 200/2007 e n. 211/2003 sino a quando diverrà applicabile il Regolamento UE 536/2014). Ne deriva che, secondo il Garante, solo i trattamenti dei dati stabiliti da specifiche norme sulla sperimentazione clinica non devono basarsi sul consenso dell’interessato. Al di fuori di questa ipotesi, il consenso sembra essere di regola necessario, salvo che ricorrano le circostanze eccezionali in cui sia impossibile (materialmente o legalmente) acquisirlo.

Questa impostazione – pur rappresentando un’innovazione significativa rispetto a quella tradizionale (ben rappresentata nelle Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali del 24 luglio 2008), che identificava nel consenso dell’interessato la base giuridica “ordinaria” per il trattamento dei dati personali nell’ambito della sperimentazione clinica – appare più restrittiva rispetto alle indicazioni dell’EDPB e della Commissione europea.

In effetti, le “Question and Answers on the interplay between the Clinical Trials Regulation and the General Data Protection Regulation” (Q&A), pubblicate dalla Commissione il 10 aprile 2019, a seguito del parere reso dall’EDPB (Parere 3/2019 del 23 gennaio 2019), evidenziano che, per il principio di responsabilizzazione di cui al GDPR, spetta ai titolari del trattamento(ossia il promotore della sperimentazione e il centro di sperimentazione dove opera lo sperimentatore), e non all’Autorità nazionale di controllo, determinare le basi legali per il trattamento dei dati dei pazienti che partecipano alla sperimentazione.

Uso primario e secondario dei dati

Inoltre, le Q&A operano una distinzione, all’interno dell’insieme dei trattamenti di dati personali effettuati per svolgere una sperimentazione conformemente al relativo protocollo(«primary use»), tra i trattamenti di dati che sono necessari per adempiere a specifici obblighi imposti ai titolari del trattamento dal Regolamento sulla sperimentazione clinica (ad esempio, agli articoli da 41 a 43, 58 e 78) e quelli meramente funzionali alle finalità di ricerca (previste dal protocollo).

Per il primo “sottoinsieme” di trattamenti viene indicata come base giuridica del trattamento quella prevista dall’art. 6, comma 1, lett. c) del GDPR, ossia «il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», e, per il trattamento di dati relativi alla salute, l’art. 9, comma 2, lett. i) del GDPR, essendo il trattamento «necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali (…) la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali (…), sulla base del diritto dell’Unione».

Per il secondo “sottoinsieme” di trattamenti, vengono in considerazione, a seconda delle specifiche circostanze del caso, le seguenti basi giuridiche previste dal GDPR: i) l’art. 6, comma 1, lett. e), essendo il trattamento «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» e, per quanto concerne i dati relativi alla salute, l’art. 9, comma 2 lett. i) (poc’anzi citata) o j) del GDPR, ove il trattamento sia «necessario a fini (…) di ricerca scientifica (…) sulla base del diritto dell’Unione o nazionale»; ii) l’art. 6, comma 1, lett. f), ossia «il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento» e, per i dati relativi alla salute, l’art. 9, comma 2, lett. j) (già citato); iii) infine, il consenso dell’interessato ex art. 6, comma 1, lett. a) e, per i dati sulla salute, art. 9, comma 2, lett. a), purché soddisfi i requisiti di validità indicati dall’art. 4, n. 11 e dal considerando 32 del GDPR.

Riguardo al consenso quale base legale per i trattamenti dei dati dei pazienti coinvolti nella sperimentazione, le Q&A sottolineano che i titolari del trattamento devono verificare che il consenso sia realmente libero. Tale requisito implica un’effettiva possibilità di scelta per il paziente. Al riguardo, vengono richiamate alcune precisazioni contenute nel Regolamento sulla sperimentazione clinica, che – pur riguardando il consenso informato del paziente a partecipare alla sperimentazione (art. 2, comma 2, n. 21 di tale Regolamento) – valgono mutatis mutandis per il consenso dell’interessato al trattamento dei propri dati personali ai fini della sperimentazione. Pertanto, per valutare che il consenso al trattamento dei dati sia liberamente prestato, si deve tenere conto di tutte le pertinenti circostanze che possono influenzare la decisione dell’interessato, tra cui l’eventuale appartenenza ad un gruppo economicamente o socialmente svantaggiato o una sua situazione di dipendenza istituzionale o gerarchica potenzialmente in grado di influire in maniera non appropriata sulla sua decisione (si veda il considerando 31 del Regolamento 536/2014).

Opportunamente le Q&A ricordano che la scelta della base giuridica ha dei risvolti pratici, in quanto l’eventuale revoca del consenso di un paziente al trattamento dei suoi dati – la quale va tenuta distinta dalla revoca del consenso a partecipare alla sperimentazione – implica che i titolari del trattamento non possano più raccogliere, utilizzare e neppure conservare i dati del paziente (non essendo prevista alcuna deroga per quanto concerne il trattamento dei dati a fini di ricerca scientifica), salvo che operino altre basi legali per il trattamento di tali dati (ad esempio, l’adempimento degli obblighi derivanti dal Regolamento sulla sperimentazione clinica).

Anche per quanto attiene al cosiddetto «secondary use» dei dati dei pazienti partecipanti ad una sperimentazione clinica – ossia il trattamento di tali dati, al di fuori di quanto previsto nel relativo protocollo, per fini meramente scientifici (art. 28, comma 2 del Regolamento sulla sperimentazione clinica) – l’interpretazione delle norme del GDPR risultante dalle Q&A della Commissione europea appare maggiormente “research-friendly” rispetto alla normativa italiana.

Innanzitutto, le Q&A ricordano che, ai sensi dell’art. 5, comma 1, lett. b) del GDPR, «un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è (…) considerato incompatibile con le finalità iniziali», purché siano adottate garanzie adeguate per i diritti e le libertà dell’interessato exart. 89, comma 1 del GDPR. Ciò peraltro non esonera il titolare del trattamento dall’obbligo di individuare un’idonea base giuridica per il «secondary use» a fini di ricerca scientifica di dati originariamente raccolti per una sperimentazione clinica. A questo proposito, le Q&A sottolineano che il consenso costituisce una base giuridica idonea solo se gli interessati sono stati informati delle specifiche finalità di ricerca, le quali devono essere chiaramente distinte da quelle del «primary use».

Pertanto, a livello europeo, non si esclude che il “trattamento ulteriore” a fini di ricerca scientifica dei dati raccolti nell’ambito di una sperimentazione clinica si possa fondare su basi legali diverse dal consenso degli interessati, né si presume che tale consenso costituisca la base giuridica più appropriata, salvo che in casi eccezionali (come sembra evincersi dall’art. 110-bis del Codice della privacy, che esige l’intervento del Garante quando, «a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca»).

L’importanza dell’uniformità di applicazione

È importante precisare che l’interpretazione delle norme del GDPR delineata dalle Q&A della Commissione europea (al pari di quella resa dall’EDPB con il Parere 3/2019) non è vincolante.Infatti, nell’ordinamento dell’UE, solo la Corte di giustizia dell’UE ha il potere di “dire l’ultima parola” sul significato e la portata delle norme dell’Unione (art. 19, comma 1 del Trattato sull’Unione europea). Tuttavia, come si è detto, per garantire la libera circolazione dei dati personali all’interno dell’UE, è essenziale che le autorità (amministrative e giurisdizionali) nazionali interpretino e applichino le norme del GDPR in modo quanto più possibile uniforme. È per soddisfare tale esigenza che il legislatore europeo ha optato per un regolamento anziché per una direttiva e ha attribuito all’EDPB – un organismo composto dalla figura di vertice dell’Autorità di controllo di ciascuno Stato membro e dal Garante europeo della protezione dei dati (EDPS) – il compito di pubblicare «linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente» del GDPR (art. 70, comma 1, lett. e del GDPR).

È auspicabile che, nell’applicare le disposizioni del GDPR e nell’adottare le misure di garanzia per il trattamento dei dati relativi alla salute, il Garante tenga conto dell’indirizzo interpretativo che si sta delineando a livello europeo, che, come si è visto, riconosce l’autonomia dei titolari del trattamento nell’individuazione delle basi giuridiche atte a legittimare la raccolta e il trattamento di dati personali e non presume che il consenso dell’interessato sia la base più idonea nell’ambito della sperimentazione clinica o per scopi di ricerca ulteriori a quelli previsti nel protocollo della sperimentazione.

Questa impostazione è suffragata dalla raccomandazione sulla tutela dei dati relativi alla salute adottata dal Comitato dei Ministri del Consiglio d’Europa il 27 marzo 2019 – CM/Rec(2019)2. Ciò è rilevante visto che la riforma delle norme dell’UE sulla tutela dei dati personali è andata di pari passo con l’“ammodernamento” della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, adottata in seno al Consiglio d’Europa nel 1981 (c.d. Convenzione 108), di cui gli Stati membri dell’UE sono parti contraenti.

Tra l’altro, l’esigenza di uniformarsi quanto più possibile all’orientamento interpretativo concordato nei consessi europei, onde facilitare la condivisione dei dati tra titolari stabiliti in diversi Stati membri, dovrebbe suggerire una revisione della clausola sulla «Tutela della Privacy» contenuta nella bozza di contratto per la conduzione della sperimentazione clinica sui medicinali, predisposta dal Centro di coordinamento nazionale dei comitati etici territoriali per le sperimentazioni cliniche, su cui l’Agenzia Italiana del Farmaco (AIFA) ha avviato una consultazione pubblica l’11 marzo 2019, al fine di recepire commenti, osservazioni e suggerimenti da parte degli stakeholders.

Attualmente la bozza di contratto prevede che «prima del coinvolgimento del paziente, pertanto, il Responsabile della Sperimentazione o un suo delegato autorizzato, deve ottenere per iscritto il consenso informato del paziente nella forma più aggiornata approvata dal Comitato Etico e conforme alle indicazioni normative vigenti: (i) a partecipare alla Sperimentazione; (ii) alla comunicazione delle relative informazioni confidenziali; (iii) al trattamento dei dati personali (…)». Ciò implica che ogni trattamento di dati dei pazienti che partecipano ad una sperimentazione clinica debba basarsi sul consenso degli stessi.

Tuttavia, come si è visto, non si deve confondere tra consenso al trattamento dei dati personali (non sempre necessario ai fini della liceità di tale trattamento) e «consenso informato» a partecipare ad una sperimentazione (di regola necessario per ogni intervento nel campo della salute già ai sensi della Convenzione di Oviedo sui Diritti dell’Uomo e la biomedicina).

Regole deontologiche sui trattamenti a fini di ricerca: ambito di applicazione e rapporto con le norme Ue

Come si è detto, il Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici è stato oggetto di revisione da parte del Garante.

Al riguardo, le citate Linee guida del 24 luglio 2008 stabilivano che gli studi c.d. osservazionali sui farmaci (definiti all’art. 1, comma 1, lett. p del D.lgs. n. 200/2007 e all’art. 2, comma 2, n. 4 del Regolamento 536/2014), ove «non [fossero] strettamente associati ad attività di tutela della salute svolte da medici o organismi sanitari, ovvero – a differenza delle sperimentazioni cliniche sui medicinali – non [potessero] ritenersi comparabili a tali attività in termini di ricaduta personalizzata sull’interessato, [rientravano] nell’ambito di applicazione delle previsioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (…)».

Le Linee guida prevedevano altresì che «anche nell’ambito di [tali] studi, il trattamento di informazioni medico/cliniche [poteva] essere effettuato, in linea generale, per gli scopi della ricerca con riferimento ai soli dati personali degli individui che vi [acconsentissero] specificatamente dopo aver ricevuto un’idonea informativa sul trattamento dei dati». Tuttavia, era ammessa una deroga al requisito del consenso dell’interessato per l’ipotesi in cui, a causa di «particolari e comprovate circostanze (di carattere etico, metodologico o di impossibilità organizzativa)», fosse impossibile informare e chiedere il consenso agli interessati. In tale ipotesi, secondo le Linee guida, «il trattamento [poteva] essere effettuato (…) in assenza del loro consenso, a condizione che il programma di ricerca [fosse] stato oggetto di motivato parere favorevole del competente comitato etico e [fosse] ottenuta l’autorizzazione del Garante (…)».

L’ambito di applicazione delle regole deontologiche rivisitate dal Garante (inserite, ai sensi dell’art. 20, comma 4, del D.lgs. n. 101/2018, nell’allegato A del Codice novellato dal decreto del Ministro della giustizia del 15 marzo 2019) coincide con quelle contenute nel Codice previgente.

In particolare, tali regole «si applicano all’insieme dei trattamenti effettuati per scopi (…) scientifici – conformemente agli standard metodologici del pertinente settore disciplinare –, di cui sono titolari università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche».

Per contro, esse non si applicano ai trattamenti di dati per scopi di ricerca scientifica che siano «connessi con attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di significativa ricaduta personalizzata sull’interessato». Si ritiene che gli studi osservazionali, a differenza delle sperimentazioni cosiddette interventistiche, non abbiano siffatta ricaduta sui pazienti. In effetti, in uno studio osservazionale, il farmaco – conformemente alle Linee guida di AIFA per la classificazione e conduzione degli studi osservazionali – è prescritto nelle indicazioni terapeutiche autorizzate e in linea con la normale pratica clinica.

Le regole deontologiche prevedono che il trattamento dei dati relativi alla salute per scopi scientifici debba basarsi sul consenso (libero e informato) dell’interessato manifestato per iscritto. Per quanto concerne le circostanze in cui non è richiesto tale consenso, le regole deontologiche rinviano alle già menzionate prescrizioni relative al trattamento dei dati personali per scopi di ricerca scientifiche (ancora oggetto di consultazione pubblica), oltre che all’art. 110 del Codice della privacy.

Inoltre, riguardo alla ricerca medica (o biomedica o epidemiologica), le regole deontologiche stabiliscono che l’informativa resa all’interessato deve consentirgli di distinguere tra le attività di ricerca e quelle di tutela della salute. Ai trattamenti di dati personali effettuati in tale ambito si applicheranno le misure di garanzia del Garante (attualmente in corso di adozione).

Occorre segnalare che le regole deontologiche si riferiscono ai trattamenti posti in essere da specifiche categorie di soggetti («università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche»), a cui non sono riconducibili le società farmaceutiche, le quali contribuiscono frequentemente alla conduzione degli studi osservazionali. Quindi, i trattamenti di dati che rientrano nella sfera di controllo di tali soggetti saranno integralmente soggetti – oltre che alle norme del GDPR – alle misure di garanzia del Garante.

D’altronde, come ricorda la Circolare ministeriale n. 6 del 2 settembre 2002 sull’attività dei comitati etici, «valgono per gli studi osservazionali tutte le regole applicabili alle sperimentazioni cliniche per quanto riguarda (…) il rispetto dei diritti dei partecipanti alla ricerca per quanto concerne le informazioni sullo studio e la tutela della privacy».

Ancorché non si registrino prese di posizioni ufficiali a livello europeo sui trattamenti di dati personali nell’ambito degli studi osservazionali, pretendere che essi si basino in ogni caso sul consenso degli interessati non appare in linea con il GDPR, il quale rimette ai titolari l’individuazione della corretta base giuridica e contempla basi alternative (e pariordinate) al consenso anche per quanto concerne il trattamento di tali dati.

Infine, giova ricordare che le regole deontologiche qui esaminate sono del tutto distinte dai codici di condotta di cui agli articoli 40 e 41 del GDPR. Le principali differenze sono che le regole deontologiche promanano dal Garante e il loro rispetto costituisce condizione di liceità del trattamento dei dati personali (art. 2-quater, comma 4 del Codice della privacy), mentre i codici di condotta sono elaborati dalle associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento e l’adesione ad essi è uno dei parametri di cui deve tener conto il Garante quando infligge le sanzioni amministrative in relazione a violazioni del GDPR (art. 83, comma 2, lett. j del GDPR). Tuttavia, i codici di condotta possono acquisire efficacia vincolante ove siano approvati dalla Commissione, mediante atti di esecuzione (art. 40, comma 9 del GDPR).

Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario: ambito di applicazione e rapporto con le norme europee

Il Garante ha riepilogato le basi giuridiche previste dal GDPR che, generalmente, legittimano i trattamenti di dati relativi alla salute in ambito sanitario, vale a dire:

  • motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri di cui all’art. 9, par. 2, lett. g);
  • oppure motivi di interesse pubblico nel settore della sanità pubblica di cui alla lett. i) della citata disposizione;
  • oppure finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali o, più semplicemente, «finalità di cura» di cui alla lett. h).

Il Garante ha opportunamente precisato che, a seconda dello specifico trattamento di dati effettuato, possono venire in rilievo altre basi giuridiche contemplate dal GDPR.

Con riguardo ai trattamenti di dati posti in essere per «finalità di cura», il Garante ha sottolineato che essi possono basarsi sul citato art. 9, par. 2 lett. h) solo ove siano necessari per la realizzazione di tali finalità; in caso contrario, essi sono legittimi solo se sussiste un’altra base giuridica, che può – ma non deve necessariamente – essere il consenso dell’interessato.

Quali esempi di trattamenti di dati sulla salute che, non essendo strettamente necessari alla cura, richiedono il consenso dell’interessato, persino se sono effettuati da operatori sanitari, sono quelli correlati all’uso di app mediche o del Fascicolo sanitario elettronico.

Il Garante ha poi evidenziato che, in alcuni casi, l’acquisizione del consenso al trattamento dei dati è richiesta da specifiche disposizioni di settore anteriori all’applicazione del GDPR, la cui (perdurante) osservanza è prescritta dall’art. 75 del Codice della privacy.

Quest’ultima affermazione non appare condivisibile, in quanto – come riconosce l’art. 22, comma 1 del D.lgs. n. 101/2018 – le disposizioni dell’ordinamento nazionale (tutte indistintamente) si devono interpretare e applicare «alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali», assicurando la libera circolazione dei dati personali tra Stati membri.

In effetti, senza che ci sia bisogno di invocare il principio del primato del diritto dell’UE su quello nazionale, basta considerare che le norme del GDPR sono lex specialisin tema di tutela dei dati personali (quindi, anche per quanto attiene al trattamento dei dati sanitari). Come tali, esse prevalgono su qualsiasi disposizione normativa con esse contrastante.

In effetti, solo per fare un esempio, il Regolamento sulla sperimentazione clinica prevede espressamente che la normativa sui dati personali (allora dettata dalla Direttiva 95/46/CE) si debba applicare anche al trattamento dei dati personali effettuato negli Stati membri nell’ambito della sperimentazione (considerando 76).

Pertanto, sia il Garante che i Giudici dovranno applicare le norme del GDPR, senza attendere la previa abrogazione di altre norme con quelle confliggenti.

FONTE: Agenda Digitale

Back To Top