Modifica dell’art. 110 Codice privacy ed il provvedimento del Garante del 9 maggio 2024 Cosa cambia per la ricerca medica, biomedica ed epidemiologica

La ricerca medica, biomedica ed epidemiologica e gli studi osservazionali retrospettivi

La normativa che descriveremo riguarda solo il trattamento di dati sanitari per fini di ricerca medica, biomedica ed epidemiologica; non già altri trattamenti (frequenti nel mondo sanitario), che apparentemente potrebbero essere ricondotti all’ambito ricerca (perché implicanti analisi di dati), ma che in realtà sono orientati ad altri scopi (governo sanitario, ricerca statistica, didattica, ecc.) oggetto di altre, diverse regole.

La ricerca medica e biomedica è la ricerca clinica in cui il rilievo scientifico è strettamente connaturato con l’atto medico e con l’attività assistenziale rivolta al singolo paziente assistito; la ricerca epidemiologica è uno studio volto alla ricerca di una relazione causale fra uno (o più) fattori di rischio ed una (o più) condizioni morbose (malattia, disabilità, morte). In questi ambiti, hanno grande importanza gli studi osservazionali, in cui i medicinali sono prescritti secondo le indicazioni dell’autorizzazione all'immissione in commercio, l’assegnazione del paziente a una strategia terapeutica rientra nella normale pratica clinica, la decisione di prescrivere il medicinale è indipendente da quella di includere il paziente nello studio e ai pazienti non si applica nessuna procedura supplementare di diagnosi o monitoraggio. Fra gli studi osservazionali, sono molto diffusi gli studi retrospettivi, per i quali si lavora su dati sanitari e campioni biologici già disponibili presso i centri, raccolti da questi nell’attività di assistenza sanitaria. Negli studi retrospettivi, è frequentissimo che sia necessario includere nel perimetro della ricerca dati di persone alle quali sarebbe impossibile rilasciare l’informativa e chiedere il consenso, ad esempio perché defunte o irraggiungibili.

La sovranità lasciata dal GDPR agli Stati membri su questa materia

La tematica oggetto di questo focus è stata disciplinata in modo molto diverso nei vari Stati membri dell'Unione Europea. È il GDPR stesso ad aver lasciato agli Stati membri un'ampia sovranità sull'argomento. L'art. 9.4 GDPR prevede che gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. L'art. 36.5 del GDPR stabilisce che il diritto degli Stati membri può prescrivere che i Titolari del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento volto all'esecuzione, da parte del Titolare, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla sanità pubblica. Nel codice privacy “novellato” del 2018 (post GDPR), l'Italia ha previsto – appunto, all'art. 110 del codice privacy – restrizioni al trattamento di dati sanitari per finalità di ricerca medica, biomedica ed epidemiologica, nei casi in cui chiedere agli interessati il loro consenso è impossibile (ad esempio perché defunti) o comunque molto problematico. Fra queste limitazioni, spiccava l'obbligo della consultazione preventiva del Garante. Un regime ben più restrittivo di quello degli altri Stati UE.

L'art. 110 Codice Privacy, comma 1. La regola (implicita) del consenso

L'art. 110 del codice privacy è la norma rivolta a quei soggetti pubblici e privati che sono abilitati - in un preciso quadro regolatorio - a promuovere studi clinici. Il primo comma, assai lungo, contiene una regola e ben due eccezioni. La regola (implicita, non toccata dalla legge 56/2024) è che per il trattamento di dati sanitari a questi fini è necessario il consenso. Secondo l'interpretazione del Comitato Europeo (Linee guida 5/2020) e del Garante, il requisito della specificità del consenso (art. 6 GDPR) è garantito solo quando l'interessato ha avuto la possibilità di rilasciarlo con riferimento allo specifico progetto di ricerca. Ciò significa che - ad avviso delle Autorità - è indispensabile che il Titolare abbia documentato all'interno di un documento (il progetto) gli obiettivi della ricerca, l'ipotesi che si intende verificare, il metodo che sarà seguito, i risultati attesi, ecc., e che il consenso al trattamento dei dati personali verta su quello specifico progetto.

L'art. 110 del codice privacy, comma 1, primo periodo

La prima eccezione (non toccata dalla legge 56/2024) è che si può fare a meno di chiedere il consenso ai soggetti arruolati quando il trattamento di dati sanitari a fini di ricerca medica, biomedica ed epidemiologica è svolto in esecuzione di norme europee o nazionali, compreso il caso in cui la ricerca rientra nel Piano Sanitario Nazionale. L'eccezione riguarda sicuramente: 1) i progetti di ricerca previsti e disciplinati a livello normativo; 2) la ricerca finalizzata, finanziata dal Ministero della Salute. Entrambe le casistiche sembrano riferibili in via pressoché esclusiva alla ricerca nel settore pubblico. A lungo, è stato dubbio se potessero essere considerati inclusi in questa eccezione gli studi promossi dagli IRCSS, anche privati. In tempi recenti, è andata affermandosi l'interpretazione per cui – in virtù del combinato disposto del d.lgs. 288/2003 e dell'art. 110-bis, comma 4 del codice privacy - gli IRCSS non erano tenuti ad applicare la seconda parte del comma 1 (quella abrogata dalla legge 56/2024), che descriveremo nel prossimo paragrafo. Fatto sta che - laddove intendano avvalersi di questo esonero dal consenso - i Titolari del trattamento dei dati sanitari devono effettuare una Valutazione d'impatto sul progetto di ricerca ai sensi dell'art. 35 GDPR e renderla pubblica, preferibilmente sul loro sito web, sotto forma di estratto. Lo svolgimento di una Valutazione d'impatto è un'attività onerosa. Ad oggi, pochi soggetti del settore pubblico sembrano essersi avvalsi della base giuridica dell'interesse pubblico ed avere pubblicato Valutazioni d'impatto sui loro siti internet.

L'art. 110 del codice privacy, comma 1, secondo e terzo periodo (ante riforma)

La seconda eccezione dell'art. 110, comma 1 copre gli studi profit (promossi da case farmaceutiche) e non profit (promossi da strutture sanitarie, associazioni, fondazioni, ecc.) del settore privato, nonché l'eventuale ricerca del settore pubblico non riconducibile alla prima eccezione. Già nella versione modificata dalla legge 56/2024, l'art. 110 permetteva a questi soggetti di svolgere ricerca medica, biomedica ed epidemiologica anche quando informare gli interessati (e chiedere loro il consenso) è impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, a patto di: a) avere il parere favorevole del Comitato Etico sul progetto; b) effettuare una Valutazione d'impatto in cui definire misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato. Questi requisiti sono confermati. In aggiunta, però, la norma prevedeva che per potere realizzare questa ricerca senza informare tutti gli interessati e senza avere il loro consenso, il Titolare dovesse sottoporsi alla preventiva consultazione del Garante ai sensi dell'articolo 36 GDPR. Poiché il GDPR prevede che oggetto della consultazione del Garante sia una Valutazione d'impatto, l'adozione delle misure appropriate doveva essere illustrata nella Valutazione d'impatto da sottoporre al Garante. In base al Regolamento 2/2019 del Garante, la durata di questo procedimento era di 14 settimane. Tuttavia, accadeva che esso avesse durata maggiore, ad es. in virtù di richieste di chiarimenti da parte del Garante.

Ulteriori elementi che completavano il quadro normativo

Quanto appena riportato non esauriva gli oneri a carico dei tantissimi soggetti che hanno bisogno di fare questo tipo di ricerca. Ai sensi delle prescrizioni generali del Garante relative al trattamento di categorie particolari di dati (pubblicate sulla Gazzetta Ufficiale n. 176 del 2019), i Titolari che intendono fare studi osservazionali retrospettivi in cui per motivi etici od organizzativi è impossibile informare individualmente tutti i pazienti e raccoglierne il consenso, sono tenuti a compiere ogni ragionevole sforzo per contattarli, anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente. Inoltre, resta l’obbligo di rendere l’informativa e chiedere il consenso agli interessati ovunque possibile, ad e. in caso di visite di controllo.

Problemi applicativi dell’art. 110 del codice privacy, comma 1, secondo e terzo periodo (ante riforma)

Come intuibile, il regime giuridico appena descritto scoraggiava una parte importante della ricerca medica, biomedica ed epidemiologica del settore privato (strutture private che non sono IRCSS, case farmaceutiche, enti non profit). Cioè, l’attività svolta da tantissimi ricercatori italiani, che attingono a dati sanitari disponibili.

Come è stato modificato l’art. 110 del codice privacy, comma 1, terzo periodo

L’art. 44, legge 56/2024 ha apportato modifiche al codice privacy. Il comma 1-bis ha stabilito che all'articolo 110, comma 1, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, le parole: «e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento» sono sostituite dalle seguenti: «Nei casi di cui al presente comma, il Garante individua le garanzie da osservare ai sensi dell'articolo 106, comma 2, lettera d), del presente codice». Dunque, è stato soppresso l’obbligo di consultazione preventiva, ma è stato ribadito il potere del Garante di definire le garanzie da osservare nei casi in cui si può prescindere dal consenso dell'interessato.

Il provvedimento del Garante del 9 maggio 2024

Il 9 maggio 2024, il Garante ha emesso il suo provvedimento sul tema. Da un lato, ha deciso il varo di nuove Regole deontologiche, volte a sostituire quelle del 2018. Su questo fronte, il Garante ha aperto una consultazione pubblica, rivolta a soggetti rappresentativi delle categorie statutariamente tenute allo svolgimento di ricerche mediche o portatori di un dimostrabile interesse qualificato alla materia. Costoro potranno inviare una comunicazione al Garante chiedendo di partecipare alla consultazione, che avrà luogo successivamente, quando il Garante avrà individuato l’elenco completo dei soggetti che possono partecipare. Possiamo immaginare che i tempi necessari per la produzione delle nuove Regole non saranno brevi. Dall’altro, per il periodo transitorio che precede le nuove Regole, ha ribadito quali motivi possono giustificare il fare a meno del consenso ed ha individuato le garanzie per i dati di soggetti deceduti o non contattabili.

Quali motivi possono giustificare il fare a meno di un consenso allo specifico progetto di ricerca

Il Garante ha ribadito i motivi che possono giustificare l’eccezione già definiti nelle prescrizioni generali del 2019. I motivi etici ricorrono nei casi in cui l’informativa comporterebbe la rivelazione al soggetto arruolato di notizie sulla conduzione dello studio la cui conoscenza potrebbe arrecargli un danno materiale o psicologico. I motivi organizzativi sono riconducibili alla circostanza che la mancata raccolta dei dati riferiti al numero di interessati che non è possibile contattare, rispetto al numero complessivo dei soggetti che si intende arruolare nella ricerca, produrrebbe conseguenze significative per lo studio in termini di qualità dei risultati. Una prima possibilità è la particolare elevata numerosità del campione. Il Garante chiarisce che quest’ipotesi è da considerarsi del tutto residuale. La seconda è che nonostante ogni ragionevole sforzo compiuto per contattarli, gli interessati risultino deceduti o non contattabili.

Cosa dovrà fare chi ricade nell'art. 110 del codice privacy, comma 1, seconda parte (post riforma)

Il Garante ha confermato che il Titolare che si trova in questa situazione deve «accuratamente motivare e documentare» nel progetto di ricerca, la sussistenza dei motivi per i quali informare gli interessati e acquisire il loro consenso non è fattibile, documentando altresì gli sforzi profusi per tentare di contattarli. Tutti coloro che possono essere raggiunti devono ricevere un'informativa ed essere posti in condizione di dare o di negare il consenso. Il Garante non dice a quali condizioni possa ritenersi che gli sforzi del Titolare per contattare gli interessati siano ragionevoli. Tuttavia, la giurisprudenza del Garante offre precedenti utili. Ad esempio, in un provvedimento del 26 ottobre 2023 destinato all'Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino [doc. web n. 9963509], il Garante ha ritenuto proporzionati 5 tentativi di contatto in un caso in cui il campione era di circa 600 pazienti, 400 erano deceduti e 60 erano risultati non contattabili. In aggiunta, il Garante ha introdotto due misure nuove applicabili nella fase transitoria, fino a quando non ci saranno le nuove Regole deontologiche: 1) obbligo di pubblicare la Valutazione di impatto; 2) obbligo di comunicare al Garante di averla pubblicata. Quanto al punto 1), il Garante ha esteso a questa casistica l'obbligo di pubblicazione (tendenzialmente, sul sito web) che vale anche per la ricerca pubblica. Sicuramente, non occorre che il promotore dello studio retrospettivo sottometta la Valutazione d'impatto al Comitato Etico. Infatti, la documentazione di competenza dei Comitati Etici è definita dalla normativa ad essi applicabile, e al suo interno la Valutazione d'impatto non c'è. Quanto al punto 2), non essendo previste particolari formalità, si può dedurre che la comunicazione possa avvenire via PEC.

Casi nei quali resta la necessità di consultazione preventiva del Garante

L’art. 110 del codice privacy riguarda esclusivamente i dati relativi alla salute. Per i dati genetici, in attesa del varo delle misure di garanzia previste dall’art. 2-septies del codice privacy, continuano a valere le prescrizioni generali del Garante del 2019. Queste contengono un paragrafo intitolato “Conservazione a fini di ricerca e ulteriore trattamento”, secondo cui in assenza del consenso degli interessati, i campioni biologici e i dati genetici raccolti per scopi di tutela della salute possono essere conservati e utilizzati per finalità di ricerca previste da norme; o per scopi scientifici direttamente collegati con quelli per i quali è stato originariamente acquisito il consenso. Anzitutto, quando a causa di particolari ragioni non è possibile informare gli interessati malgrado sia stato compiuto ogni ragionevole sforzo per raggiungerli, la conservazione e l’ulteriore utilizzo di campioni biologici e di dati genetici raccolti per la realizzazione di progetti di ricerca diversi da quelli originari sono consentiti solo se una ricerca di analoga finalità non può essere realizzata mediante il trattamento di dati riferiti a persone dalle quali può essere oppure è stato acquisito uno specifico consenso. In aggiunta, deve sussistere una fra le due seguenti condizioni: 1) il progetto comporta l’utilizzo di campioni biologici e di dati genetici che in origine o a seguito di trattamento, non consentono di identificare gli interessati, sempre che questi ultimi non si siano opposti; oppure, in alternativa, 2) il progetto di ricerca, preventivamente oggetto di motivato parere favorevole del competente Comitato Etico, deve essere sottoposto a preventiva consultazione del Garante ai sensi dell’art. 36 GDPR. Stante l’orientamento del Garante, secondo cui non consentono di identificare gli interessati solo i dati resi irreversibilmente anonimi mediante un complesso mix di metodologie (generalizzazione, randomizzazione, ecc.), i Titolari dovranno considerare con prudenza la sussistenza della condizione 1). Salvo che non si affronti la strada (impegnativa) di rendere i dati non più identificativi, per studi retrospettivi con dati genetici resta quindi necessario consultare il Garante. Inoltre, la consultazione del Garante resta necessaria per studi retrospettivi in cui si analizzano, senza consenso e per estrarne dati genetici, campioni raccolti per precedenti progetti. Un’interpretazione restrittiva (non condivisa da chi scrive) porterebbe a ritenere obbligatoria la consultazione per qualsiasi uso secondario a fini di ricerca di campioni biologici raccolti in precedenti progetti.

Mancata modifica della norma-sanzione: sua abrogazione tacita

L’art. 166 del codice privacy prevede che è soggetto a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, «colui che non effettua la Valutazione di impatto di cui all'articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma». Per coerenza sistematica, sarebbe stato opportuno che il legislatore eliminasse la frase «ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma». Ciò non è avvenuto. Tuttavia, essendo venuta meno la norma-precetto, questa norma-sanzione deve essere considerata tacitamente abrogata. Ai sensi dell’art. 15 delle preleggi, le norme sono abrogate anche «per incompatibilità tra le nuove disposizioni e le precedenti».