Il Garante Privacy ha pubblicato alcune FAQ per fornire indicazioni agli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS) per l’utilizzo legittimo dei dati personali dei pazienti per le attività di ricerca scientifica.
Il trattamento dei dati personali relativi alla salute per finalità di ricerca scientifica in campo medico, biomedico o epidemiologico richiede, di regola, la prestazione del consenso da parte dell’interessato. Tale manifestazione di volontà si differenzia dal c.d. consenso informato in quanto per essere legittimamente prestato deve godere di specifiche caratteristiche.
In particolare, deve essere preventivo, libero, informato e, soprattutto, specifico, cioè riferito ad un singolo progetto di ricerca.
Tuttavia, secondo quanto disposto dall’art. 110 del Codice Privacy, il consenso non è richiesto quando la ricerca è effettuata in base a disposizioni di legge.
Gli IRCCS, per espressa previsione normativa (si veda in particolare il d.lgs. 288/2003),perseguono primariamente finalità di ricerca; l’attività di assistenza sanitaria, offerta a supporto degli altri organi del Sistema Sanitario Nazionale, e sostanziantesi in prestazioni di ricovero e cura di alta specialità, costituisce, quindi, un’attività strumentale alla ricerca.
Ne consegue che, come giustamente disposto dall’art. 110 bis comma 4 del Codice Privacy, i dati personali raccolti dagli IRCCS sono trattati primariamente per finalità di ricerca, non costituendo questo un trattamento ulteriore.
Alla luce di quanto ricostruito, il Garante, con le FAQ pubblicate lo scorso 6 giugno, chiarisce come, fermo l’adempimento degli obblighi informativi nei confronti degli interessati, la lettura combinata dei menzionati articoli, consenta agli IRCCS di trattare dati personali per finalità di ricerca, anche senza la preventiva raccolta del consenso dei pazienti.
Tuttavia, laddove gli IRCCS decidessero di legittimare il trattamento dei dati dei pazienti sulla base delle richiamate disposizioni di legge, dovranno obbligatoriamente condurre, ai sensi degli artt. 35 e ss. del GDPR, una Valutazione d’impatto (DPIA) che dovrà essere idoneamente pubblicata. La pubblicazione potrà essere omessa solo in caso di possibile lesione dei diritti di proprietà intellettuale o di rischio di divulgazione di segreti commerciali.
Chiari, dunque, appaiono tanto la ratio del legislatore quanto l’intento chiarificatore del Garante, entrambi finalizzati a favorire, nel rispetto dei principi fondamentali, il trattamento di dati anche particolari per finalità di ricerca scientifica. Sul punto, è appena il caso di chiarire come l’art. 110 bis non definisca quali siano le tipologie di ricerche mediche alle quali esso si applica. Per espresso chiarimento dell’Autorità, “la disposizione trova applicazione in relazione ad ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da tali Istituti ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli multicentrici promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento”.
Avv. Marta Cogode, Dott.ssa Alice Dal Bello e Dott. Lorenzo Maione