Uno dei temi di più complessa applicazione dopo la piena efficacia del GDPR è senza dubbio quello della ricerca scientifica in ambito sanitario. I motivi sono molteplici.
Il primo, senza dubbio, è una mutata realtà di fatto.
La crescente digitalizzazione della nostra società e in particolar modo della sanità porta a una iper produzione di dati, aprendo la strada a progetti, iniziative, possibilità di analisi sino ad alcuni anni fa inimmaginabili.
Privacy e dati sanitari: ecco la normativa italiana e UE e i principi che ne regolano il trattamento
Indice degli argomenti
Il GDPR e l’uso dei dati raccolti per la ricerca medica
Così le domande e i dubbi che sorgono da parte di tutti gli stakeholder – che siano strutture sanitarie, società scientifiche, industria, università, singoli professionisti sanitari – sono le più svariate: come posso usare i dati raccolti per diagnosi e cura per la ricerca? Posso fornire a terzi i dati per allenare un software di AI? Di chi è il risultato? Come posso costruire un DB di dati sanitari? posso profilare i dati? come posso trattare i c.d. Reald Word Data? Quando posso considerare un dato come anonimo? E queste sono solo alcune.
Tale “nuova” – ormai non più tanto – situazione di fatto, si cala poi in un quadro giuridico di complessa interpretazione e applicazione.
L’arrivo del GDPR è stato salutato come una ventata di apertura verso la ricerca scientifica: l’ art. 5 lett. b) ha introdotto il possibile trattamento dei dati per finalità ulteriore (es. ricerca scientifica) quando la stessa può considerarsi “non incompatibile” rispetto alla finalità primaria (es. diagnosi e cura), l’art. 6 comma 4 ci ha indicato i criteri per effettuare questo test di compatibilità (in ossequio all’Opinion n. 3/2013 del Working Party), l’art. 9 lett. j) ha introdotto una base giuridica ad hoc per la ricerca scientifica, l’art. 14 comma 5 lett b) ha sollevato il titolare dall’obbligo di informativa ove tale adempimento appaia troppo complesso, l’art. 89 ha indicato le specifiche misure di garanzia da applicarsi nella ricerca scientifica.
Il quadro, però, presentava qualche ombra per l’area sanitaria: il legislatore del GDPR infatti non ha avuto il coraggio (più probabilmente la forza politica) per andare fino in fondo e, all’art. 9 comma 4, ha lasciata aperta la porta agli Stati membri per “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
In sostanza “gettato il sasso e nascosto la mano”.
Tale porta si è poi trasformata in un varco che ha portato gli Stati membri (chi più chi meno) a introdurre regole molto diverse tra loro, spesso anche molto stringenti.
Una egregia analisi comparata si può trovare nell’importante lavoro comunitario Assessment of the EU Member States’ rules on health data in the light of GDPR del 2021 dove sono evidenziate le diverse discipline nei diversi Stati membri e le difficoltà quindi di svolgere ricerche a livello europeo per le differenze nel trattamento dei dati; a complesso problema si sta cercando poi oggi di dare una risposta comunitaria attraverso Proposal for a Regulation on the European Health Data Space (presentata il 3 maggio 202) sulla quale hanno già avuto modo di esprimersi l’EDPS e EDPS in una specifica Joint Opinion pubblicata il 12 luglio 2022.
Per quanto riguarda poi l’Italia, non si può dire che non abbia (ab)usato dello spazio lasciato dal GDPR per l’introduzione di regole specifiche per la ricerca scientifica in ambito sanitario (il sopracitato art. 9 comma 4).
Pur non volendo infatti negare l’importanza di regole di protezione in questo ambito, il risultato italiano è senza dubbio – e non sono certamente l’unica ad affermarlo – molto stringente nonché un discreto pasticcio.
Il D.lgs. 101/2018 di armonizzazione del nostro Codice Privacy al GDPR, tradendo lo spirito dello stesso GDPR ha rifatto il maquillage al precedente art. 110 e ha ripresentato l’art. 110-bis, nata come norma ad hoc (secondo le nostre insane abitudini) attraverso la Legge Europea 2017 – legge 20 novembre 2017 n. 167.
Molto sinteticamente.
- l’art. 110 riguarda la ricerca medica, biomedica ed epidemiologica e (andando nel oltre le previsioni comunitarie che parlavano solo di “ulteriori condizioni”) impone il consenso come base giuridica, stabilendo che ove non sia possibile raccogliere il consenso dell’interessato occorre il parere del Comitato Etico e la Consultazione Preventiva del Garante ex art. 36 GDPR (ovviamente a valle di una Valutazione di Impatto ex art. 35 GDPR).
- l’art. 110-bis si occupa invece del trattamento ulteriore da pare di terzi per il quale è prevista l’autorizzazione del Garante, da emanarsi entro 45 ed il cui silenzio equivale a rifiuto. Peccato, però, che l’attuale sistema di protezione dei dati non preveda più un regime autorizzativo da parte del Garante e tutti si domandano se le prescrizioni di cui al Provvedimento 146 del 5 giugno 2019 (che ha “traghettato” le precedenti autorizzazioni al trattamento dei dati sensibili nel mondo GDPR) possano o meno essere considerata una autorizzazione generale, il cui rispetto consenta anche il trattamento anche da parte di terzi.
In questo quadro, decisamente complesso (e un po’ confuso), il Garante Privacy è di recente intervento con un parere emanato nell’ambito di una Consultazione Preventiva ex art. 110 chiarendo alcuni aspetti di rilievo (Registro dei provvedimenti n. 238 del 30 giugno 2022).
Tale parere merita senza dubbio di essere analizzato.
Spazio Sanitario Europeo, quali sono le implicazioni privacy secondo EDPB ed EDPS
Il caso sottoposto al parere del Garante Privacy
L’Azienda Ospedaliera Universitaria Integrata di Verona presentava un’istanza di Consultazione Preventiva (ex art. 110 comma 1 Codice Privacy e art. 36 GDPR) in qualità di promotore di uno studio osservazionale interdipartimentale, non farmacologico denominato “DB Torax” con dati sia prospettici che retrospettivi.
In sostanza l’obiettivo era creare una Banca Dati della popolazione dei pazienti affetti da patologie neoplastiche (e non) del distretto toracico, da poter poi utilizzare, anche successivamente, per ulteriori studi volti a migliorare le conoscenze e la pratica clinica nel settore delle patologie del distretto toracico: più esattamente nel protocollo dello Studio si specificava che “Piani di analisi statistiche dettagliate saranno impostati nei futuri protocolli di ricerca che useranno la presente banca dati come fonte di dati in modo da raggiungere gli obiettivi [degli] studi specifici”.
L’Azienda presentava, in allegato alla istanza, una Valutazione d’Impatto ex art. 35 GDPR circa la creazione della stessa banca dati e gli studi successivi.
Circa la base giuridica, dalla valutazione d’impatto emergeva che:
- per i prospettici si sarebbe provveduto a raccogliere il consenso;
- per i retrospettivi, essendoci molti dati riferiti a deceduti ed essendo molto complessa la raccolta del consenso anche per i viventi (solo il 10% era reperibile), la base giuridica era da rinvenirsi nella procedura dell’art. 110 Codice Privacy.
Più precisamente poi il trattamento dati per gli studi successivi era considerato “ulteriore” e “non incompatibile” alla raccolta iniziale, senza necessità quindi di ulteriori basi giuridiche.
La stessa Valutazione d’Impatto illustrava poi con precisione quali set di informazione verranno raccolti, come i dati saranno pseudonomizzati, come (tra 20 anni) i dati saranno resi completamente anonimi ed altresì le misure di sicurezza implementate.
Su tale prospettazione il Garante ha emanato il suo parere.
Ricerca medica e trattamento dati: il parere del Garante
Circa la basi giuridiche del trattamento, dopo una ricostruzione molto precisa e dettagliata (veramente utile viste le difficoltà sopra illustrate), il Garante svolge alcune considerazioni interessanti.
Più esattamente precisa che il consenso per i prospettici e la procedura ex art. 110 Codice Privacy per i retrospettivi legittima il trattamento dei dati per la finalità di costruzione della banca dati. Al contrario invece gli studi successivi, che verranno effettuati “pescando” dati dal DB, non possono essere considerati compatibili con il trattamento iniziale e quindi necessiteranno di apposito consenso.
Più esattamente così si legge:
Ne discende che i consensi raccolti per la creazione del DB Torax (o, in alternativa, la procedura di consultazione preventiva in esame) non possono costituire anche la base giuridica per ulteriori trattamenti, poiché essi rappresentano una manifestazione di volontà ancora parziale che si andrà a completare in maniera progressiva con le ulteriori e specifiche richieste di consenso che dovranno essere avanzate dall’Azienda in occasione della realizzazione degli studi futuri (cons. 50, art. 6 par. 4, del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, cit.).
In sostanza: consenso “generale” (o procedura ex art. 110) per la costituzione della Banca Dati e consenso specifico “progressivo” (o procedura ex art. 110) per i singoli studi che seguiranno.
Ancora molto interessante l’analisi sulla anonimizzazione dei dati.
Il Garante, infatti, ha considerato valide le tecniche presentate a tal fine che prevedono per rendere i dati anonimi:
- l’eliminazione di 51 variabili comprensive di quelle che conducono alla identificazione diretta degli interessati (“record_id” e “patient code”), ulteriori variabili eccedenti o idonee ad accrescere il rischio di reidentificazione (es. data di nascita, firma del consenso informato), nonché quelle “utili più ai fini organizzativi dello Studio che ai fini di analisi dei dati”;
- la randomizzazione di 57 variabili per 3 categorie: “valore in anni per l’età all’arruolamento (“age_at_enrollment”) […] l’età alla diagnosi (“age_diagnosis”), e […] giorni per le restanti variabili della sezione che riguardano tutte le date riportate nel DB Torax”;
- la generalizzazione di 293 variabili mediante aggregazione e K-anonimato consistente nell’assicurare che ogni valore relativo a un soggetto interessato sia condiviso da almeno un numero minimo (k) di altre persone all’interno dell’insieme.
Il Garante ha considerato l’applicazione di queste tecniche idonee ad abbassare il rischio di re-identificazione al punto tale da poter legittimamente considerare il dato come anonimo.
Valutazione conclusive
Al termine della lettura mi sono chiesta quali insegnamenti possiamo trarre da questo parere.
La prima valutazione senza dubbio è quella per cui quando la Valutazione d’Impatto è fatta bene, il Garante non è un nemico ma un organo (appunto) di consultazione: in questo senso non ci sono ragioni per cercare di “evitare” di applicare l’art. 110 Cod Priv. (richiesta che invece viene sollevata spesso). Ci sono invece ragioni per cercare di capire il sistema e cercare di lavorare bene.
La seconda valutazione (strettamente connessa alla prima) riguarda il fatto che potrà non piacerci il “sistema dell’art. 110 e 110-bis” (a me non piace e penso tradisca lo spirito del GDPR), ma questo è quello che al momento abbiamo: quindi fino ad un prossimo intervento del nostro legislatore (o forse una falciata del legislatore comunitario con l’Health Data Space) il nostro Garante non può andare oltre ai paletti imposti dal legislatore stesso.
La terza valutazione riguarda i dati anonimi, tema su cui continua ad esserci una grande paura (specie da parte delle strutture pubbliche) ad assumersi la responsabilità di quando considerarli veramente anonimi: adesso abbiamo un esempio chiaro, puntuale e vagliato dal Garante. Quindi non ci sono più scuse.
Poi, forse, in questo parere si poteva essere un po’ più coraggiosi circa la “non incompatibilità” del trattamento per gli studi successivi, ma la strada dalla compatibilità è ancora, anche culturalmente, in salita. Lo dimostra il continuo posticipare dello stesso EDPB che ad ogni documento ci dice che ci dirà come fare. Aspettiamo fiduciosi.
Senza dubbio al momento ci portiamo a casa un documento chiaro su come costruire una banca dati sanitaria.
Visto il caos interpretativo, i tentennamenti e le paure delle struttura sanitarie, a mio parere non è poco.