L’utilizzo secondario dei dati personali ne rappresenta il trattamento ulteriore effettuato per scopi differenti da quelli per cui i dati erano stati inizialmente raccolti.
In ambito sanitario il tipico trattamento ulteriore dei dati dei pazienti – inizialmente acquisiti dalle strutture sanitarie per curare gli assistiti tramite attività di diagnosi, assistenza o terapia – è quello eseguito per fini di ricerca scientifica.
Al riguardo, l’emergenza epidemiologica da Covid-19 ha consentito la costruzione di database contenenti un notevole volume di dati sanitari dei soggetti affetti dal virus, che opportunamente analizzati nell’ambito del secondary use, finalizzato alla ricerca, sono in grado di contribuire allo studio della malattia.
Le fonti di provenienza di questi dati sono molteplici, da cartelle cliniche a test di autovalutazione fino a incroci di informazioni che possono far presumere una determinata patologia, come, nel caso del Coronavirus, la situazione di permanenza in una zona fortemente interessata dall’epidemia comunicata dal paziente al proprio medico a scopo diagnostico.
Indice degli argomenti
Il trattamento dei dati secondo il GDPR
Poiché il principio di finalità prevede all’art.5, par. 1, lett. b) del Reg. UE 679/2016 (GDPR) che i dati debbano essere trattati per finalità “determinate, esplicite e legittime”, è essenziale che anche successivamente siano trattati in un modo che non sia incompatibile con tali finalità.
Sostanzialmente, di norma deve essere effettuata la cd. “valutazione di compatibilità” che deve tenere in considerazione i seguenti quattro fattori chiave:
- la relazione tra le finalità per cui i dati personali sono stati raccolti e le finalità del trattamento ulteriore;
- il contesto in cui i dati personali sono stati raccolti e le aspettative ragionevoli dei soggetti interessati in relazione al loro uso ulteriore;
- la natura dei dati personali e l’impatto di un ulteriore trattamento sui soggetti interessati;
- le garanzie adottate dal trattamento dei dati per garantire un trattamento corretto e per prevenire ogni impatto negativo sui soggetti interessati.
Tuttavia, l’art. 5, par.1, lett. b) dispone anche una presunzione di compatibilità del secondary use a fini di ricerca scientifica, ove stabilisce che “un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali”.
Ciò comporta che per considerarsi compatibile, il trattamento ulteriore debba rispettare garanzie adeguate per i diritti e le libertà dell’interessato, in conformità al GDPR. Tali garanzie devono assicurare la predisposizione di misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati.
Inoltre, tra le misure di sicurezza vi è la pseudonimizzazione, purché pseudonimizzando i dati sia possibile perseguire le finalità di ricerca, e se tali finalità possano essere conseguite attraverso un trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, i dati devono essere resi anonimi.
Mentre il trattamento dei dati per uso incompatibile alla finalità originaria è consentito a condizione che sussista una nuova base giuridica (v. Parere 03/2013 sulla limitazione delle finalità dell’articolo 29 Data Protection Working Party), il considerando 50 del GDPR prevede invece che in caso di finalità compatibile non sia richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali.
Nel contesto del Covid-19, la base giuridica indicata in via primaria dal Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) – nelle Linee guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al Covid-19 – è il consenso dell’interessato al trattamento dei propri dati comuni, ex art. 6, par. 1, lett. a), e particolari, ai sensi dell’art. 9, par.2, lett. b).
Il consenso dell’interessato al trattamento dei dati
Resta inteso che, per costituire una valida base giuridica, il consenso deve rispettare i relativi requisiti imposti dal GDPR e dalle Linee guida 05/2020 adottate dall’EDPB il 4 maggio 2020, che prevedono che il consenso debba essere:
- libero
Il requisito di libertà del consenso impone l’obbligo per il titolare di fornire all’interessato una scelta effettiva. Nello specifico, il consenso non si considera valido se l’interessato si sente obbligato a fornirlo – come nelle condizioni di squilibrio di potere –, se subirà conseguenze negative se non acconsente o se non è in grado di rifiutare o revocarlo senza pregiudizio.
Secondo quanto considerato dall’EDPB, uno squilibrio di potere non si verificherebbe nel caso di uno studio osservazionale su una determinata popolazione, riguardante la sintomatologia e l’evoluzione di una patologia, potendo i ricercatori legittimamente basare la loro attività di trattamento dei dati sul consenso dei pazienti.
Il Comitato sostiene infatti che “gli interessati non versano in alcun modo in una situazione di dipendenza dai ricercatori tale da influenzare in modo improprio l’esercizio della loro libera volontà; è altresì chiaro che non subiranno conseguenze negative se rifiutano di dare il loro consenso”.
L’EDPB osserva, inoltre, che nonostante la revoca del consenso possa pregiudicare quelle tipologie di ricerca scientifica che richiedono dati identificativi di persone fisiche, ciò non comporta in ogni caso alcuna esenzione a questo requisito. Pertanto, se un titolare del trattamento riceve una richiesta di revoca, in linea di principio deve eliminare immediatamente i dati identificativi dei pazienti se desidera continuare a utilizzare i dati per i fini della ricerca.
- specifico
Ai sensi dell’art. 6, par. 1, lett. a) il consenso deve essere prestato in relazione a “uno o più scopi specifici” e l’interessato ha una scelta in relazione a ciascuno di essi. Per rispettare il requisito della specificità il titolare deve:
– specificare le finalità;
– richiedere il consenso in maniera granulare: quando il trattamento dei dati viene perseguito per diversi scopi, il titolare deve separare tali finalità nella richiesta di consenso e richiedere un consenso distinto per ciascuna finalità;
– separare chiaramente l’informativa relativa all’ottenimento del consenso per le attività di trattamento dei dati dalle informazioni su questioni differenti,
– separare la richiesta di consenso per il trattamento dei dati personali dalla richiesta di consenso che funge da standard etico o obbligo procedurale per lo svolgimento della ricerca.
Il considerando 33 sembra offrire una certa flessibilità al grado di specificazione e granularità del consenso nel contesto della ricerca scientifica, poiché afferma che: “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista”.
Ciononostante, il considerando 33 non elimina il requisito della specificità del consenso, ma prevede che, in linea di principio, i progetti di ricerca scientifica possono includere dati personali sulla base del consenso solo se hanno una finalità ben definita. Nei casi in cui gli scopi del trattamento non possano essere specificati all’inizio, il considerando 33 consente in via eccezionale di descrivere la finalità a un livello più generale.
Al riguardo, poi, l’EDPB osserva che quando categorie particolari di dati, come quelli relativi alla salute, vengono trattate sulla base del consenso, l’approccio flessibile di cui al considerando 33 sarà soggetto a un’interpretazione più rigorosa.
Laddove non sia possibile specificare completamente le finalità della ricerca, il titolare del trattamento deve individuare modalità alternative per garantire che l’essenza dei requisiti di consenso sia meglio soddisfatta, ad esempio permettere agli interessati di acconsentire a fini di ricerca in termini più generali e per fasi specifiche di un progetto che sono già note per aver luogo all’inizio. Di seguito, nel corso dell’avanzamento della ricerca, il titolare può ottenere il consenso per le fasi successive del progetto prima dell’inizio della fase successiva.
- informato
L’obbligo di fornire informazioni agli interessati prima di ottenere il loro consenso è essenziale per consentire loro di effettuare scelte informate, comprendere cosa stanno accettando e fornire loro gli strumenti per esercitare il diritto di revocare il loro consenso. Questo requisito si ricollega al principio della trasparenza di cui all’art. 5 del GDPR, strettamente connesso ai principi di equità e liceità. Qualora, infatti, il titolare del trattamento non fornisca informazioni accessibili, il controllo dell’interessato sui propri dati diventa inefficace e il consenso non può rappresentare una base giuridica valida per il trattamento.
La trasparenza è un’ulteriore salvaguardia quando le caratteristiche della ricerca scientifica non consentono l’ottenimento di un consenso specifico. Una mancanza di specificazione degli scopi può, infatti, essere compensata da informazioni sulla evoluzione delle finalità fornite regolarmente dai titolari del trattamento nel corso dell’avanzamento del progetto di ricerca, in modo che, nel tempo, il consenso sia il più specifico possibile. Nel fare ciò, l’interessato acquisisce quantomeno una conoscenza di base dello stato di avanzamento, che gli consente anche di valutare se revocare o meno il consenso.
Anche mettere a disposizione dei pazienti un piano di ricerca globale da prendere in considerazione, prima che i medesimi forniscano il proprio consenso, potrebbe contribuire a compensare una mancanza di specificazione delle finalità e permettere ai titolari di dimostrare quali informazioni erano disponibili agli interessati al momento della prestazione del consenso per poterne provare la validità.
- inequivocabile
Il consenso deve essere prestato tramite una dichiarazione o azione positiva inequivocabile mediante cui “l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale” (considerando 32 del GDPR). Ogni dichiarazione o comportamento deve indicare chiaramente in tale contesto che l’interessato accetta il trattamento proposto.
Un modo ovvio per assicurarsi che il consenso sia esplicito è quello di confermare espressamente il consenso in una dichiarazione scritta. Se del caso, il titolare può assicurarsi che la dichiarazione scritta sia firmata dall’interessato, al fine di rimuovere ogni possibile dubbio e una potenziale mancanza di prove in futuro.
Tuttavia, l’EDPB sottolinea che una dichiarazione scritta firmata non rappresenta l’unico modo per ottenere il consenso esplicito e che il GDPR non prescrive dichiarazioni scritte e firmate in tutte le circostanze che richiedono un consenso esplicito valido. A ben vedere, anche l’uso di dichiarazioni orali può essere sufficientemente esplicito per ottenere un consenso valido, ma può essere difficile per il titolare dimostrare che tutte le condizioni di inequivocabili del consenso erano soddisfatte al momento della registrazione della dichiarazione.
Il Comitato ritiene, in ogni caso, che, in alternativa al consenso, il trattamento dei dati personali a fini di ricerca scientifica possa basarsi più opportunamente, per i dati comuni:
- sull’art. 6, par.1, lett. e) laddove il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico, e la finalità della ricerca scientifica rientri dunque nella previsione del diritto dell’UE o degli Stati membri;
- sull’art. 6, par.1, lett. f) in tutti gli altri casi in cui la ricerca scientifica non possa essere considerata necessaria per lo svolgimento di compiti di interesse pubblico conferiti al titolare per legge, ma sia necessaria per il perseguimento di un legittimo interesse del titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato;
e per i dati particolari, tra cui quelli relativi alla salute:
- sull’art. 9, par. 2, lett. i) ai sensi del quale “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”;
- sull’art. 9, par. 2, lett. j) per cui “il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Per fornire una base giuridica al trattamento di dati clinici a fini di ricerca scientifica, i legislatori nazionali devono emanare norme specifiche ai sensi dell’art. 9, par. 2, lett. i) e j), il che comporta che le condizioni e la portata di tale trattamento varino a seconda del diritto nazionale di ogni Stato membro.
Il legislatore italiano, nello specifico, ha previsto nel Codice Privacy novellato (D. Lgs. 196/2003 così come modificato dal D. Lgs. 101/2018) l’art. 110 che esclude l’obbligo del consenso per il trattamento di dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’UE ed è condotta e resa pubblica una valutazione di impatto.
Inoltre, ai sensi dell’art. 110 “Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’articolo 36 del Regolamento”.
Conclusioni
Nel corso della pandemia da Coronavirus l’urgenza di ottenere in tempi brevi risultati scientifici utili a contrastare la diffusione del virus ha indotto l’Autorità Garante a introdurre una deroga parziale all’art. 110 del Codice attraverso la pubblicazione di FAQ relative al trattamento dei dati nel contesto delle sperimentazioni cliniche e delle ricerche mediche nell’ambito dell’emergenza sanitaria da Covid-19.
Nello specifico, i titolari potranno effettuare trattamenti di dati che riguardano esclusivamente studi sperimentali e usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, in forza della normativa relativa alla presente fase emergenziale, senza essere obbligati alla preventiva sottoposizione del progetto di ricerca, e della relativa valutazione di impatto, alla consultazione preventiva del Garante.
