Lo scorso 9 maggio, il Garante per la protezione dei dati personali ha adottato un provvedimento con cui individua le garanzie da osservare nella conduzione di studi clinici retrospettivi, quando non è possibile acquisire il consenso dei pazienti.
Con lo stesso provvedimento, l’Autorità ha promosso l’adozione di nuove Regolo Deontologiche per i trattamenti a fini statistici e di ricerca scientifica, invitando i soggetti che hanno titolo a sottoscrivere le Regole Deontologiche o che hanno un interesse qualificato a tal riguardo a comunicarlo al Garante, entro 60 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale.
Il provvedimento si è reso necessario a seguito della recente modifica dell’art. 110 del Codice Privacy (maggiori dettagli qui), con cui è stato eliminato l’obbligo di ottenere l’autorizzazione del Garante per condurre studi retrospettivi “quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca”. Nella nuova versione dell’art. 110, infatti, l’obbligo di consultazione preventiva è stato sostituito con una previsione che prevede l’individuazione, da parte del Garante, delle garanzie da osservare ai sensi dell’articolo 106, comma 2, lettera d), del Codice Privacy.
Il Garante ha dunque chiarito quali siano i “motivi etici o organizzativi” che permettono di trattare, per finalità di ricerca scientifica, dati sanitari di persone decedute o non contattabili. I titolari del trattamento dovranno “accuratamente motivare e documentare” tali motivi nel progetto di ricerca.
Il Garante ha anche precisato che i titolari del trattamento dovranno svolgere e pubblicare una valutazione d’impatto sulla protezione dei dati (DPIA), “dandone comunicazione al Garante”. Questa previsione rappresenta la novità più rilevante e fa sorgere alcune perplessità.
La DPIA era comunque necessaria anche prima della modifica dell’art. 110 del Codice Privacy ma la sua pubblicazione non era prevista. Inoltre, la scelta di una comunicazione al Garante della documentazione relativa allo studio sembra poco giustificabile alla luce del principio di accountability, vista l’eliminazione dell’obbligo di consultazione preventiva dell’Autorità. Non è neppure chiaro se questa comunicazione debba riguardare l’intenzione di avviare lo studio, con tutta la documentazione relativa, o abbia ad oggetto solo la DPIA.
Infine, la DPIA potrebbe contenere informazioni riservate sull’organizzazione dei titolari del trattamento e sulle misure di sicurezza implementate. Riteniamo però che tali informazioni possano essere omesse nella versione della DPIA pubblicata – e non in quella condivisa col Garante – purché il documento contenga una descrizione esaustiva di tutti gli elementi necessari ai sensi dell’art. 35 del GDPR.
Ci auguriamo che le nuove regole deontologiche, di prossima emanazione, possano rappresentare l’occasione per chiarire anche gli aspetti dubbi sopra evidenziati.
Sempre in ambito sanitario, potrebbe interessarti l’articolo “Il Parlamento europeo approva il Regolamento per lo Spazio Europeo dei Dati Sanitari”
