Ricerca medica e trattamento di dati personali: il Garante privacy ribadisce le possibili basi giuridiche

Ricerca medica e trattamento di dati personali: il Garante privacy ribadisce le possibili basi giuridiche

Con il provvedimento del 30 giugno 2022, l’Autorità garante per la protezione dei dati personali ha reso parere favorevole in merito al trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica, nell’ambito di uno studio osservazionale interdipartimentale, prospettivo e retrospettivo su pazienti sottoposti ad interventi del distretto toracico per talune patologie. 

Il parere è stato reso a valle della procedura di consultazione preventiva di fronte all’Autorità, avviata dall’Azienda Ospedaliera Universitaria Integrata di Verona, in qualità di promotore di uno studio che prevede la creazione di una banca dati di diversa natura – ivi compresi quelli appartenenti alle particolari categorie di cui all’art. 9 del GDPR – al fine di effettuare talune valutazioni in merito, ad esempio, alle pratiche terapeutiche, all’impatto prognostico di fattori clinici e di nuove terapie oncologiche. 

La normativa applicabile e le basi giuridiche per il trattamento avente scopi di ricerca medica

Come chiarito anche dal Garante nel provvedimento in commento, nell’ambito del trattamento di particolari categorie di dati personali per finalità di ricerca medica rilevano il Regolamento UE 679/2016 (“GDPR”), il D.lgs 196/2003 e ss.mm.ii (il c.d. “Codice privacy”), nonché le Prescrizioni relative al trattamento dei dati effettuato per per scopi di ricerca scientifica (adottate con il Provvedimento del 5 giugno 2019) e le Regole deontologiche per il trattamento per fini statistici o di ricerca scientifica (allegato A5 del Codice privacy). 

Tanto premesso, ai sensi di tutte le fonti sopra citate, la primaria base giuridica per il trattamento di particolari categorie di dati per il perseguimento di scopi di ricerca scientifica in campo medico, biomedico ed epidemiologico è costituita dal consenso dell’interessato, che può essere richiesto anche in un momento successivo alla raccolta, laddove in detto momento non è possibile individuare tutte le specifiche finalità del trattamento (Considerando n. 33 del Regolamento). 

Occorre dare conto, però, di due eccezioni al ricorrere delle quali il titolare del trattamento può prescindere dal consenso dell’interessato.

Da un lato, vi è il caso di tutte quelle attività di ricerca effettuate sulla scorta di disposizioni di legge, regolamento o diritto dell’Unione, che, come noto, possono costituire una idonea base giuridica per il trattamento dei dati in commento. 

In ipotesi ulteriormente residuali, poi, il presupposto del consenso non è necessario “quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca” (art. 110, par. 1, Codice privacy). 

In tali casi, il titolare del trattamento è tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, nonché ad avviare la procedura descritta nel citato art. 110 del Codice, che prevede l’acquisizione di un motivato parere favorevole del competente comitato etico sul progetto e la sottoposizione alla consultazione preventiva del Garante ai sensi dell’art. 36 del Regolamento.

Le Prescrizioni adottate Garante chiariscono poi quali sono le particolari ragioni che possono giustificare la mancata acquisizione del consenso, ossia:

• motivi etici riconducibili alla circostanza che l’interessato ignora la propria condizione e in cui la conoscenza dell’informativa sul trattamento dei dati potrebbe arrecare un danno materiale o psicologico agli interessati stessi (si pensi agli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il quale non esista un trattamento);
• motivi di impossibilità organizzativa, anche in relazione al trattamento dei dati di coloro i quali, al momento dell’arruolamento nello studio, deceduti o non contattabili.

Il parere del Garante sulle basi giuridiche individuate dall’Azienda

Nel parere in commento, l’Autorità si è espressa sul trattamento sopra delineato, così come cristallizzato dal Titolare all’interno della valutazione d’impatto e ulteriormente dettagliato nell’ambito degli elementi informativi acquisiti dal Garante nel corso della sua attività istruttoria (v. pag. 5 e ss. del provvedimento). 

In via generale, l’Autorità ha concluso che l’Azienda ospedaliera ha correttamente individuato le basi giuridiche per il trattamento, ossia, il consenso dell’interessato, da un lato, e il motivato parere favorevole del competente comitato etico a livello territoriale sottoposto alla preventiva consultazione del Garante, con riferimento a tutti quei pazienti per i quali non è possibile ottenere uno specifico consenso (poiché deceduti o irraggiungibili). 

Rispetto agli ulteriori e specifici studi che il Titolare intende effettuare, il Garante ha rilevato che le manifestazioni di volontà acquisite al momento della raccolta dei dati non sarebbero di per sé idonee a legittimare i trattamenti di dati personali per la realizzazione di ulteriori e futuri progetti di ricerca. 

Tanto, tra l’altro, l’Autorità ha concluso con riferimento al trattamento di dati di pazienti non contattabili, evidenziando come il Considerando n. 50 del GDPR – in caso di trattamenti ulteriori fondati sulla liceità del trattamento originario – impone al titolare non solo di verificare che detto trattamento soddisfi tutti i requisiti del Regolamento, ma anche che la base giuridica possa in concreto supportare gli ulteriori trattamenti: nel caso in esame, tuttavia, detta valutazione deve avere esito negativo alla luce della mancata specifica individuazione degli ulteriori studi, sia al momento dell’acquisizione del consenso sia nell’ambito della procedura oggetto del provvedimento. 

Conclusioni

Nel parere in commento, il Garante ha delineato un utile quadro della normativa data protection applicabile ai trattamenti di dati personali per finalità di ricerca medica, ribadendo gli obblighi dei titolari in tali contesti.

In particolare, rispetto a dati già acquisiti, il Garante ha reso chiaro che non si può superare il dato normativo, che, in assenza di norme che legittimino gli studi, impone di: 

• “tornare”, per dir così, dall’interessato al fine di acquisire ulteriori e specifici consensi presso i pazienti censiti nel database (fornendo, pertanto, una informativa integrativa); ovvero
• richiedere all’Autorità un ulteriore parere ed effettuare, di conseguenza, una valutazione d’impatto ai sensi dell’art. 35 del GDPR rispetto ai nuovi e diversi studi. 

Resta inteso che, a mente delle parole del Garante, tale necessità non parrebbe sussistere tutte quelle volte in cui gli studi futuri siano stati correttamente e specificamente delineati al momento dell’individuazione della base giuridica che sorregge il trattamento dei dati originario (sia essa il consenso o la consultazione preventiva).