È necessario adottare precise garanzie per il trattamento dei dati sulla salute a scopo di ricerca medica (art. 9 GDPR) qualora non fosse possibile acquisire il consenso del paziente perché deceduto o non contattabile.
Lo ha stabilito il Garante privacy intervenuto a seguito della recente modifica apportata all’articolo 110 del Codice Privacy (D.lgs. 196 del 2003, come novellato dal D.lgs. 101/2018) dal Decreto PNRR (art. 44, comma 1-bis del d.l. n. 19 del 2 marzo 2024).
Nello specifico, l’art. 20, commi 3 e 4 del D.lgs. 101/2018 ha conferito al Garante il compito di verificare la conformità al GDPR delle Regole deontologiche. Con il provvedimento n. 514 del 19 dicembre 2018 il Garante ha adottato pertanto le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica che costituiscono l’attuale allegato A.5 al Codice.
Indice degli argomenti
Ricerca medica e trattamento dati: le garanzie da applicare
In attesa dell’approvazione delle nuove Regole deontologiche e ferma la vigenza di quelle di cui all’allegato A.5 del Codice, il Garante ai sensi dell’art. 110 del Codice individua le seguenti garanzie, necessarie per i trattamenti di dati sulla salute per finalità di ricerca medica, biomedica e epidemiologica, riferiti a soggetti deceduti o non contattabili per motivi etici o organizzativi.
Motivi etici
Sono motivi etici quelli riconducibili alla circostanza che l’interessato ignora la propria condizione, quali a titolo esemplificativo e non esaustivo le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi.
Motivi di impossibilità organizzativa
Sono motivi di impossibilità organizzativa quelli riconducibili alla circostanza che la mancata raccolta dei dati riferiti al numero di interessati che non è possibile contattare, rispetto al numero complessivo dei soggetti che si intende arruolare nella ricerca, produrrebbe conseguenze significative per lo studio in termini di qualità dei risultati della ricerca stessa; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti.
Misure da adottare per un corretto trattamento dati
In tale contesto, il titolare del trattamento oltre ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e acquisire il parere favorevole del competente comitato etico a livello territoriale sul progetto di ricerca come previsto dall’art. 110 del Codice, deve accuratamente motivare e documentare, nel progetto di ricerca, la sussistenza delle ragioni etiche o organizzative per le quali informare gli interessati e quindi acquisire il consenso risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, se del caso documentando altresì i ragionevoli sforzi profusi per tentare di contattarli.
Nei predetti casi, i titolari del trattamento di dati sulla salute per finalità di ricerca medica, biomedica e epidemiologica riferiti a soggetti deceduti o non contattabili devono altresì svolgere e pubblicare la valutazione di impatto, ai sensi dell’art. 35 del Regolamento, dandone comunicazione al Garante.
Cosa deve fare il titolare del trattamento
A valle di quanto su esposto, chi effettua attività di ricerca medica – quando risulta impossibile informare gli interessati o l’obbligo implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente i risultati dello studio – non deve più sottoporre il progetto di ricerca e la relativa valutazione di impatto alla consultazione preventiva, essendo sufficiente rispettare le specifiche garanzie previste dal Garante.
Pertanto, in questi casi il titolare del trattamento dovrà:
- acquisire il parere favorevole del competente Comitato etico a livello territoriale sul progetto di ricerca;
- motivare e documentare le ragioni etiche o organizzative in base alle quali non hanno potuto acquisire il consenso dei pazienti;
- effettuare e pubblicare la valutazione di impatto, dandone comunicazione al Garante.
Inoltre, il Garante per la protezione dei dati personali ha promosso l’avvio della procedura per l’adozione delle nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, invitando sia i soggetti pubblici e privati (che ritengano di avere titolo a sottoscrivere le Regole deontologiche) che i portatori di un interesse qualificato, a darne comunicazione e a fornire informazioni e documentazione all’indirizzo PEC dell’Autorità, protocollo@pec.gpdp.it, entro e non oltre 60 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale.
