L’oggetto delle F.A.Q. del Garante Privacy
Il Garante per la protezione dei dati personali è nuovamente intervenuto in materia di protezione dei dati personali in ambito sanitario con specifico riferimento all’uso secondario per scopi di ricerca scientifica da parte degli Istituti di ricovero e cura a carattere scientifico (IRCCS), rispondendo alle domande che più di frequente si pongono in materia [ref]FAQ - Presupposti giuridici e principali adempimenti per il trattamento da parte degli IRCCS dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca[/ref].
In via preliminare, l’Autorità ha rammentato la natura giuridica degli IRCCS quali enti a rilevanza nazionale dotati di autonomia e personalità giuridica, che, oltre a svolgere attività di ricerca in ambito medico, effettuano prestazioni di ricovero e cura di alta specialità (art. 1 d.lgs. n. 288/2003).
Basi giuridiche legittimanti il trattamento dei dati sanitari: il Garante chiarisce il quadro normativo per la ricerca negli IRCCS
Posta questa necessaria premessa, il Garante ha chiarito quali basi giuridiche possono legittimare il trattamento dei dati sanitari raccolti a fini di cura dagli IRCCS per ulteriori scopi di ricerca scientifica.
Il trattamento può fondarsi, in primo luogo, sul consenso dell’interessato, che deve precedere l’avvio dell’attività di ricerca ed essere riferito ad un singolo progetto di studio, redatto in conformità alla normativa di settore. Oltre che preventivo e specifico, il consenso deve essere libero, espresso, inequivocabile ed informato (art. 9 par. 2 lett. a) G.D.P.R.). Con particolare riguardo a quest’ultimo profilo, il Garante non ha, tuttavia, specificato quando l’informativa sul progetto di ricerca resa all’interessato può ritenersi adeguata, dovendosi, a tal riguardo, far riferimento alle indicazioni fornite dal Garante europeo della protezione dei dati e dal Comitato europeo per la protezione dei dati (ad esempio, le linee-guida n. 5/2020 dell’EDPB in materia di consenso al trattamento dei dati personali, pubblicate in data 4 maggio 2020).
L’Istituto di ricerca deve essere in grado di documentare il consenso prestato dall’interessato (art. 7 G.D.P.R.) e consentirgli di revocarlo in qualsiasi momento, salvo che l’esercizio del diritto di revoca rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi perseguiti dal trattamento (art. 17 par. 3 lett. d) G.D.P.R.).
Un’ulteriore base giuridica idonea a legittimare l’uso secondario dei dati sanitari per scopi di ricerca scientifica è una norma di legge, nazionale o sovranazionale, che legittima il trattamento nell’interesse pubblico (art. 9 par. 2 lett. j) G.D.P.R.). In tale contesto si inserisce l’art. 110, comma 4, del Codice in materia di protezione dei dati personali (D.lgs. n. 196/2003), secondo cui non costituisce un trattamento ulteriore l’uso per scopi di ricerca scientifica dei dati sanitari raccolti a fini di cura dagli IRCCS, in ragione del carattere strumentale dell’attività di assistenza sanitaria da loro svolta rispetto alla ricerca. La disposizione – come specificato dall’Autorità – trova applicazione in relazione ad ogni tipo di ricerca, prospettica e retrospettiva, promossa da tali enti, inclusi gli studi clinici condotti da più istituti (cd. multicentrici).
Gli adempimenti degli IRCCS nel trattamento dei dati sanitari per ricerca
Gli IRCCS che intendono trattare i dati sanitari in loro possesso per scopi di ricerca scientifica ai sensi dell’art. 110, comma 4, del Codice in materia di protezione dei dati personali sono tenuti, in qualità di titolari del trattamento, ad una serie di adempimenti specifici. In particolare, prima del trattamento, devono effettuare una valutazione d’impatto sulla protezione dei dati e pubblicarla sul proprio sito web, soltanto per estratto qualora la pubblicazione rischi di ledere diritti di proprietà intellettuale o segreti commerciali. L’osservanza di tali obblighi è presidiata dalla previsione di una sanzione amministrativa per l’ipotesi di inadempimento (art. 166, comma 1, Codice in materia di protezione dei dati personali; art. 83 par. 4 G.D.P.R.). Peraltro, se dalla valutazione d’impatto emerge che il trattamento, in mancanza di garanzie adeguate, rischierebbe di pregiudicare gravemente i diritti fondamentali degli interessati, è, altresì, obbligatoria una consultazione preventiva del Garante (art. 36 G.D.P.R.).
In ogni caso, gli IRCCS hanno l’obbligo di informare adeguatamente gli interessati in merito al riutilizzo dei loro dati sanitari per scopi di ricerca scientifica, con la precisazione che, se i dati sanitari sono stati raccolti presso banche dati dell’Istituto o presso terzi e risulta impossibile o particolarmente complesso informare singolarmente gli interessati, è possibile adempiere all’obbligo di informazione pubblicando sul sito internet dell’Istituto le informazioni richieste dalla legge e mantenendole disponibili per tutta la durata dello studio.
Infine, nel corso del trattamento, gli IRCCS sono tenuti ad approntare misure tecniche ed organizzative idonee a tutelare i diritti e le libertà fondamentali dell’interessato, in conformità al noto principio di "accountability" (secondo cui il titolare del trattamento deve, fin dalla fase di progettazione, mettere in atto tutti gli accorgimenti necessari a garantire la protezione dei dati trattati).