Affinché il trattamento di dati personali per scopi di ricerca scientifica sia svolto lecitamente non è sufficiente il rispetto delle specifiche disposizioni dettate dal Regolamento (UE) n. 2016/679 (“GDPR”) e dal D. Lgs. n. 196/2003 (“Codice Privacy”) – in particolare degli artt. 5, par. 1, lett. b) e e), 9, par. 2, lett. j) 89 del GDPR; si rende necessario, invero, il rispetto delle prescrizioni relative al trattamento dei dati genetici (laddove questi siano oggetto di trattamento) e dei principi concernenti il trattamento dei dati personali effettuato per scopi di ricerca scientifica contenuti nel provvedimento del 5 luglio 2019 [doc. web 9124510] dell’Autorità garante in materia di protezione dei dati personali (“Garante Privacy”), nonché delle Regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica (allegato A5 al Codice), che costituiscono condizione essenziale di liceità e correttezza dei trattamenti.
In tale contesto normativo, un quadro ancora più di dettaglio si applica per quei trattamenti finalizzati alla ricerca medica, biomedica ed epidemiologica: il legislatore italiano ha, infatti, introdotto una disciplina speciale sul tema, con l’adeguamento del Codice Privacy ad opera del D.lgs. 101/2018.
Sul punto, il “nuovo” art. 110 (rubricato “Ricerca medica, biomedica ed epidemiologica”) impone il consenso come unica base giuridica per i trattamenti effettuati con tale finalità, siano essi su dati comuni, che “particolari”, genetici o su campioni biologici; due deroghe alla necessità del consenso sono tuttavia previste nel prosieguo della disposizione, laddove è previsto che:
- se il trattamento è effettuato in base a disposizioni di legge, regolamento o in forza del GDPR (art. 9, par. 2, lett. j), ed è condotta e resa pubblica una valutazione di impatto, il trattamento è lecito anche in assenza del consenso, ma occorre il parere positivo del Comitato Etico e la consultazione preventiva del Garante Privacy ex 36 del GDPR;
- inoltre, il consenso non è necessario qualora esso non possa essere ottenuto “a causa di particolari ragioni”, ossia: quando informare gli interessati risulti impossibile o implichi uno sforzo sproporzionato, oppure rischi di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità della ricerca. Anche in tal caso, il titolare deve ottenere il parere del Comitato Etico e sottoporre il programma di ricerca a preventiva consultazione del Garante Privacy ai sensi dell’art. 36 del GDPR.
Le sopra citate prescrizioni adottate dal Garante Privacy chiariscono, poi, quali siano le particolari ragioni che possono giustificare la mancata acquisizione del consenso, ossia:
- motivi etici riconducibili alla circostanza che l’interessato ignora la propria condizione e in cui la conoscenza dell’informativa sul trattamento dei dati potrebbe arrecare un danno materiale o psicologico agli interessati stessi (si pensi agli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il quale non esista un trattamento);
- motivi di impossibilità organizzativa, anche in relazione al trattamento dei dati di coloro i quali, al momento dell’arruolamento nello studio, siano deceduti o risultino non contattabili.
L’obbligo di consultazione preventiva: alcuni chiarimenti
A fronte di un dato normativo di non agevole interpretazione, sono emerse alcune perplessità specialmente sul piano dell’obbligatorietà della consultazione preventiva ai fini della conduzione di ricerca in ambito medico: ciò, in particolare, per quegli studi, cd. “retrospettivi”, in cui i ricercatori utilizzano informazioni che sono già state raccolte dal medesimo titolare del trattamento in ambito clinico, come le caratteristiche cliniche dei pazienti e le modalità con cui sono stati trattati.
A far luce sul quadro finora illustrato, è intervenuto il Garante Privacy con un parere emanato il 30 giugno 2022 nell’ambito di una consultazione preventiva ex art. 110 [doc. web 9791886] (in seguito il “Parere”) avviata da una azienda sanitaria locale (in seguito, per comodità, la “Azienda”).
L’Azienda in questione aveva, infatti, segnalato che la conduzione del progetto di ricerca sottoposto a consultazione preventiva prevedeva una parte di studi prospettici (per i quali il consenso era stato acquisito direttamente dagli interessati) ed una parte di studi retrospettivi, in relazione ai quali, segnalava l’Azienda, i dati era già stati raccolti in occasione delle prestazioni sanitarie; dal momento che, con riferimento a quest’ultima metodologia di studio, tuttavia, l’ottenimento del consenso per il trattamento ai fini della ricerca risultava impossibile (numerosi pazienti erano deceduti) oppure richiedeva uno sforzo sproporzionato (numerosi pazienti non erano più in carico per il follow-up e non risultavano reperibili), l’Azienda, a seguito di valutazione d’impatto, si rivolgeva al Garante Privacy per ottenere l’“autorizzazione” al trattamento, mediante la menzionata consultazione preventiva.
Dalla documentazione presentata dall’Azienda e dalle informazioni raccolte dal Garante Privacy nel corso dell’istruttoria, emergeva che lo studio in questione era volto alla creazione di un database (“DB Torax”), nel quale sarebbero confluiti i dati già raccolti dall’Azienda nell’ambito clinico; inoltre, la stessa avrebbe successivamente trattato tali dati per specifici e ulteriori studi osservazionali spontanei (denominati “studi futuri”).
Il Garante Privacy, esaminata la documentazione e in particolare la valutazione d’impatto presentata, accerta con il Parere la necessità di condurre il progetto di ricerca sottoposto dall’Azienda e di effettuare dunque il trattamento dei dati dei pazienti già raccolti dal titolare del trattamento, anche in assenza del loro consenso, ai fini della creazione del data base DB Torax; tuttavia, il Garante Privacy aggiunge che “i consensi raccolti per la creazione del DB Torax (o, in alternativa, la procedura di consultazione preventiva in esame) non possono costituire anche la base giuridica per ulteriori trattamenti, poiché essi rappresentano una manifestazione di volontà ancora parziale che si andrà a completare in maniera progressiva con le ulteriori e specifiche richieste di consenso che dovranno essere avanzate dall’Azienda in occasione della realizzazione degli studi futuri”.
In altre parole, per la conduzione degli studi futuri, il Garante Privacy ha ritenuto non fondata l’ipotesi dell’Azienda che riteneva il trattamento dei dati per gli studi successivi “ulteriore” e “non incompatibile” alla raccolta iniziale, senza necessità quindi di raccogliere nuovamente il consenso degli interessati (ovvero di procedere a consultazione preventiva ai sensi dell’art. 110 del Codice Privacy); in questo caso, infatti, è presumibile l’incompatibilità del fine di ricerca ulteriore rispetto alla finalità, individuata in occasione del “primo” trattamento, relativa alla costituzione del database DB Torax.
Conclusioni
Il Parere del Garante Privacy ricostruisce completamente il quadro normativo riferito alla ricerca medica, biomedica ed epidemiologica alla luce dei principi discendenti dal GDPR in materia di specificità e granularità del consenso, delle disposizioni speciali introdotte nel Codice Privacy, di cui all’art. 110, nonché dei principi contenuti nelle prescrizioni e nelle Regole Deontologiche emanate dall’autorità sul tema; allo stesso tempo, l’affermato obbligo di procedere con la consultazione preventiva, a fronte della non rara ipotesi di impossibilità di ottenere il consenso degli interessati, per la conduzione di ricerche in ambito medico che siano svolte attraverso studi retrospettivi, ogni qual volta la finalità del trattamento sia ulteriore rispetto a quella per cui sono stati raccolti i dati, pone alcune criticità di non poco rilievo.
Da un lato, infatti, il suddetto obbligo, a differenza di quanto avviene negli altri Stati Membri, porrebbe in capo al titolare del trattamento un onere particolarmente gravoso di documentazione e assessment del progetto di ricerca (con l’adempimento della valutazione d’impatto e l’avvio della procedura consultiva); dall’altro, i termini previsti dal GDPR, all’art. 36, per l’ottenimento del parere da parte dell’autorità (pari ad otto settimane, ma prorogabile di sei in base alla complessità del trattamento) rischiano di causare un rallentamento eccessivo della progettazione nella ricerca, la quale, al contrario, è spesso soggetta a termini particolarmente stretti.
Nondimeno, occorre precisare che, come emerge dal Parere, il Garante Privacy è pronto a rimettersi, in futuro, alle ulteriori e più specifiche indicazioni, in corso di elaborazione, che proverranno, sul tema, dal Comitato europeo per la protezione dei dati e dal Garante europeo.
Avv. Rossella Bucca e Dott. Lorenzo Baudino Bessone
