g-docweb-display Portlet

Provvedimento del 10 dicembre 2020 [9520597]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9520597]

Provvedimento del 10 dicembre 2020

Registro dei provvedimenti
n. 266 del 10 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 del Codice che, in tema di trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 13 dicembre 2018 (doc. web 9068972);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla FROM - Fondazione per la Ricerca Ospedale di Bergamo, con sede legale in Bergamo, piazza OMS — Organizzazione Mondiale della Sanità n. 1, cap. 24127 (di seguito anche solo “FROM” o “Fondazione”), “al fine di ottenere, in qualità di promotore, parere favorevole, in relazione al trattamento dei dati personali relativo alla conduzione dello studio osservazionale e retrospettivo, denominato "European Registry for Myeloproliferative Neoplasn (MPNs) — Update of ERNEST Study (Registro Europeo sulle Neoplasie Mieloproliferative (NMP) — Aggiornamento dello studio “Ernest”; di seguito, per brevità, "Studio Ernest 2.0"), in ragione del fatto che tale studio prevede il trattamento di dati personali e di particolari categorie di dati riferiti sia a soggetti in vita che a defunti”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Con nota 27 luglio 2020, la Fondazione per la Ricerca Ospedale di Bergamo ( di seguito la “FROM”) ha presentato un’istanza di consultazione preventiva, ai sensi dell’art. 110, comma 1, ultimo capoverso, del Codice, in qualità di promotore dello studio clinico multicentrico, osservazionale, retrospettivo “European Registry For Mieloproliferative Neoplasm (MPNs)- Update of Ernst Study” -Registro europeo sulle neoplasie mieloproliferative (NMP) aggiornamento dello studio “Ernest” (di seguito Ernest 2.0)-, in ragione del fatto che lo studio prevede il trattamento di dati relativi alla salute, riferiti a soggetti sia in vita che defunti.

A tal fine, la FROM ha trasmesso, oltre alla valutazione di impatto e al parere favorevole del comitato etico competente, copiosa documentazione per descrivere dettagliatamente come sono stati acquisiti i dati dello studio Ernest che si intende aggiornare ed evolvere nel richiamato studio Ernest 2.0 e come si è inteso procedere al rispetto degli obblighi derivanti dalla disciplina in materia di protezione dei dati personali, di cui al Regolamento e al Codice.

1. Istanza di consultazione preventiva

Nel corso dell’attività istruttoria relativa alla richiamata istanza di consultazione preventiva è emerso quanto segue.

Il richiamato progetto consiste nell’evoluzione del precedente studio Ernest, promosso dalla Fondazione Mario Negri Sud in liquidazione. La FROM, infatti, con contratto di cessione del 10 dicembre 2018, ha acquistato la banca dati relativa allo studio Ernest nell’ambio della procedura di liquidazione della Fondazione Mario Negri Sud, per proseguire tale studio clinico.

Il contratto di cessione, che ha avuto ad oggetto “la titolarità piena ed esclusiva della banca dati e conseguentemente di tutti i dati personali, le informative e i consensi al trattamento, rilasciati dai pazienti che hanno partecipato allo Studio clinico”, ha consentito il subentro della FROM alla Fondazione Mario Negri Sud nel ruolo di titolare, ai sensi degli artt. 4, n. 7 e 24 del Regolamento, al fine di svolgere un ulteriore trattamento avente uno scopo compatibile (invero analogo) con quello della raccolta originaria (cfr. cons, 50, art. 5, par. 2, lett. b) del Regolamento).

Successivamente, la FROM ha inteso evolvere lo studio Ernest intraprendendo lo studio Ernest 2.0. L’obiettivo di tale ultimo progetto di ricerca è “quello di  aggiornare, grazie alla collaborazione con alcuni centri di Sperimentazione che avevano partecipato allo Studio Ernest, i dati dei pazienti affetti da mielofibrosi e che erano già stati arruolati in tale prima ricerca, per verificare se, per i pazienti ancora in vita nel 2014 e nel periodo intercorrente da tale data al 31.12.2018, si sia verificato l’evento morte oppure se si sia sviluppata una grave leucemia, un tumore secondario o complicazioni cardiovascolari” e, dunque, il fine “(...) primario dello Studio è [quello di] analizzare il tasso di mortalità nel suddetto arco temporale”.

Lo studio comporta quindi il trattamento di dati personali di soggetti defunti. Al riguardo, la FROM ha chiarito che a dicembre 2014 i “pazienti ancora in vita dei centri aderenti allo Studio Ernest 2.0, risultavano essere 645 su un totale di 1.010, (…)” e che “(…) è verosimile ritenere che il numero di pazienti ancora in vita dal 2014 alla data odierna sia molto contenuto e, quindi, che sia altrettanto modesto il numero di interessati” che potranno ricevere le informazioni sul trattamento dei dati personali (artt. 13 e 14 del Regolamento) e prestare il loro consenso (cfr. nota del 7 ottobre 2020).

Le motivazioni, richiamate e adeguatamente argomentate dal titolare, per giustificare l’impossibilità di riuscire a informare gli interessati e acquisirne il consenso sono riconducibili a quanto previsto al punto 5.3, n. 2, delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, , che fa riferimento, tra le altre circostanze, a situazioni in cui la ricerca scientifica coinvolge pazienti deceduti. 

Ernest 2.0 è uno studio multicentrico, osservazionale retrospettivo, volto all’analisi dei dati clinici archiviati presso i centri partecipanti, e non volto allo studio di uno specifico farmaco e, quindi, non rientrante nell’ambito di applicazione del Regolamento UE 536/2014 del 16 aprile 2014, sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE.

Esso prevede il coinvolgimento di sei centri partecipanti aventi sede in Italia e sul territorio dell’Unione Europea, in qualità di titolari autonomi del trattamento (l'Azienda ospedaliera-Universitaria Careggi di Firenze; l' ASST dei Sette Laghi Ospedale di Circolo e F. Macchi Varese; l'Uddevalla Hospital; la Fondazione I.R.C.C.S, Policlinico "San Matteo"; l’ASST Papa Giovanni XXIII di Bergamo in qualità di centro coordinatore; 'Hospital Clinic de Barcelona (quest'ultimo in fase di sottoscrizione)).

Per la sua realizzazione la FROM ha individuato e designato quali responsabili del trattamento dei dati, ai sensi dell’art. 28 del Regolamento, la società Advice Pharma Group S.r.l., in qualità di fornitrice del software ICE, e l’ASST – Papa Giovanni XXIII, in qualità di fornitore dei servizi IT, come risulta dalle nomine allegate in atti. I soggetti autorizzati ad accedere al database dello Studio sono stati individualmente e espressamente nominati per iscritto, ai sensi dell’art. 29 del Regolamento e dell’art. 2-quaterdecies del Codice, ricevendo le opportune istruzioni riguardo al trattamento dei dati personali.

La FROM, in data 15 luglio 2019, ha ottenuto il parere favorevole da parte del Comitato Etico territorialmente competente del Centro coordinatore e gli altri comitati, ricevuta la notifica del parere favorevole del centro coordinatore, hanno dato riscontro positivo allo Studio.

Con note del 7 ottobre e del 27 novembre 2020, la Fondazione, anche nel dare riscontro alla richiesta di informazione formulata dall’Ufficio del Garante, con nota del 29 settembre 2020, prot. n. 36036, ha prodotto in atti il testo aggiornato dell’informativa predisposto in relazione allo studio in esame, che tiene conto dei rilievi formulati.

La FROM, quale titolare del trattamento, come sopra richiamato e come richiesto dalla procedura ex artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello studio di cui trattasi.

Da tale documento emerge che la FROM ha predisposto misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nel progetto di ricerca. In particolare, nella VIP è rappresentato che, al fine di garantire il rispetto del principio di minimizzazione i “dati clinici, inseriti nel Database dello Studio Ernest 2.0 sono pseudoanonimizzati in quanto ogni paziente arruolato dai Centri di Sperimentazione nel Database è associato solo ad un codice ossia ad uno Unique Progresyve Number (UPN) per garantirne la sua riservatezza; tali codici non contengono nomi, iniziali o altri informazioni identificative e, inoltre, le informazioni sulla identità degli interessati non sono archiviate del Database; la lista di associazione tra i codici e i nomi dei pazienti arruolati è conservata ed è nella sola disponibilità dell'investigator dello specifico Centro di Sperimentazione ove tale interessato era sottoposto a sorveglianza attiva”.

Nella valutazione d’impatto sulla protezione dei dati personali è stata, inoltre, descritta la “metodologia utilizzata (…) per analizzare i rischi relativi al trattamento dei dati personali, al fine di tutelare i dati personali, con particolare riferimento a disponibilità, riservatezza e integrità dei dati” e condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi.

Su tali basi, il Garante ritiene che possano essere condivise le valutazioni del titolare del trattamento circa l’idoneità delle misure di sicurezza, tecniche e organizzative che la FROM intende implementare (descritte nella VIP e relativi allegati) per ridurre i rischi ad un livello accettabile per non esporre gli interessati a minacce concrete di violazione dei propri diritti e libertà fondamentali connessi ai trattamenti di dati personali effettuati nell’ambito dello Studio.

L’Autorità ritiene, quindi, di potersi esprimere favorevolmente sull’idoneità delle misure tecniche e organizzative implementate dalla Fondazione a tutela dei diritti e delle libertà fondamentali degli interessati.

2. Ulteriori approfondimenti istruttori

Nel corso dell’attività istruttoria relativa alla richiamata istanza di consultazione preventiva, l’Ufficio, con nota del 29 settembre 2020 (prot. n. 36036), ha altresì inteso conoscere se e come la FROM abbia garantito l’effettività del principio di trasparenza e adempiuto agli obblighi informativi connessi alla raccolta di dati personali presso soggetti terzi per scopi di ricerca scientifica, a seguito dell’acquisizione della banca dati, relativa all’originario progetto Ernest, dalla cedente Fondazione Mario Negri Sud in liquidazione (art. 5, par. 1 lett. a) e 14, par. 5, lett. b) del Regolamento).

La normativa in materia di protezione dei dati personali infatti prevede espressamente che, qualora i dati siano ottenuti presso terzi, come nel caso in esame, il titolare del trattamento possa non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui comunicare tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, paragrafo 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento).

Al riguardo, le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, prevedono che, qualora il titolare raccolga i dati personali presso terzi e fornire l’informativa all’interessato comporti uno sforzo sproporzionato rispetto al diritto tutelato, esso debba adottare idonee forme di pubblicità, indicando a titolo esemplificativo talune specifiche modalità (art. 6, comma 3).

In sede istruttoria, la FROM, nel fornire riscontro alla richiamata richiesta di informazioni, con nota del 6 ottobre 2020, inviata a mezzo PEC il 7 ottobre 2020 ha dichiarato, di non avere fornito l’informativa connessa alla raccolta di dati personali presso la Fondazione Mario Negri Sud in liquidazione in ragione della mancanza di disponibilità dei dati identificativi e di contatto degli interessati, che l’ha, erroneamente, condotta a ritenere di trovarsi nella impossibilità oggettiva di compiere tale adempimento e di potersene conseguentemente considerare esonerata, ai sensi dell’art. 14, par. 5, lett. b) del Regolamento. Gli unici soggetti in possesso dei dati identificativi dei pazienti erano infatti, i centri di sperimentazione, che avevano interrotto ogni attività relativa allo Studio Ernest a fronte dell’inadempimento da parte di Fondazione Mario Negri Sud in merito agli impegni economici assunti nei loro confronti.

Pur avendo la FROM già in fase di istruttoria preliminare dimostrato l’intento di voler porre rimedio alla richiamata omissione, fornendo agli interessati le informazioni relative anche al predetto trattamento -includendole nell’informativa sullo studio Ernest 2.0 in esame, anche da pubblicarsi sul sito internet della Fondazione medesima, ai sensi degli artt. 13 e 14 del Regolamento -l’Ufficio, con atto del 16 novembre 2020 (prot. n. 43138), ha notificato, ai sensi dell’art. 166, comma 5 del Codice, al predetto titolare, l’avvio del procedimento per l‘adozione di misure correttive, di cui all’art. 58, par. 2 del Regolamento, invitando la FROM a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e7 del Codice, art. 18, comma 1 della legge 689 del 24 novembre 1981).

In particolare, l’Ufficio nel predetto atto, che qui deve intendersi integralmente riprodotto, ha rilevato la sussistenza di elementi idonei a configurare da parte della FROM le violazioni di cui agli articoli artt. 5, par. 1, lett. a), 14, par. 5 lett. b), del Regolamento e 6, comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, Allegato A5 al Codice.

Nel produrre i propri scritti difensivi, la FROM ha ribadito tutto quanto già rappresentato all’Autorità in fase di istruttoria preliminare, fornendo taluni specifici ulteriori elementi, volti a circostanziare la violazione occorsa e consentire a questa Autorità una ponderata valutazione della stessa, ai sensi dell’art. 83 del Regolamento (nota del 20 novembre 2020).

In tale ambito, la FROM ha, in primo luogo, dato “atto che la cessione della banca dati dello Studio Ernest, (...), ha riguardato solo informazioni conservate presso il soggetto promotore, sotto forma di codici pseudonimizzati e non i dati di correlazione per l’identificazione e la presa di contatto dei pazienti arruolati, né i contratti con i centri di sperimentazione coinvolti nello Studio Ernest che erano gli unici soggetti autorizzati ad avere contatti diretti con i pazienti”.

La FROM ha quindi ribadito come tale circostanza di fatto abbia determinato “la convinzione che non fosse possibile assolvere al proprio obbligo informativo nei confronti degli interessati, in quanto i loro dati identificativi e quelli di contatto non erano nella propria disponibilità. Né FROM ha ritenuto corretto attivarsi con ogni mezzo per acquisire o trattare ulteriori informazioni per identificare gli interessati coinvolti nel suddetto trattamento, nel rispetto dei principi contenuti nell’art. 11.1 GDPR”.

Su tali basi, la FROM, in buona fede, ha ritenuto di potersi considerare esonerata dall’obbligo di fornire le informative, ai sensi dell’art. 14, par. 5 lett. b) del Regolamento.

Ciò posto, è stato ribadito dal titolare del trattamento come, per la realizzazione dello studio Ernest 2.0, la FROM abbia inteso inglobare nelle informative relative a tale studio, da fornire agli interessati ex artt. 13 e 14 del Regolamento, anche tramite pubblicazione sul proprio sito internet, gli elementi concernenti la precedente raccolta di dati presso la Fondazione Mario Negri sud in liquidazione.

La FROM, inoltre, ha dato atto che “a seguito della ricezione della Notifica, (...) si è prontamente attivata rendendo pubbliche le informazioni sul trattamento relativo allo Studio Ernest, predisponendo una informativa privacy ex art. 14 GDPR solo con riferimento a tale studio e alla avvenuta acquisizione della relativa banca dati da parte dell’originario promotore, Fondazione Mario Negri Sud in liquidazione, che ha pubblicato online sul Sito, il 17.11.2020 in lingua italiana e il 19.11.2020 in inglese”. Con nota del 27 novembre 2020, la FROM ha reso noto di aver ulteriormente emendato il testo della richiamata informativa che risulta adesso maggiormente aderente al Regolamento.

La Fondazione ha precisato che il trattamento effettuato nell’ambito dello studio Ernest deriva dall’elevato interesse scientifico sussistente in ordine alla conduzione di tale studio, avendo esso ad oggetto l’analisi di una malattia rara in ambito oncologico, che, in Unione Europea ha una incidenza da 0,1 a 1 caso ogni 100.000 persone ogni anno.

In ordine al numero di interessati coinvolti, è stato ribadito che “il trattamento effettuato da FROM nell’ambito dello Studio Ernest ha ad oggetto dati personali e particolari categorie di dati riferiti sia a soggetti in vita che a defunti di 1.292 pazienti, di cui, a dicembre 2014, 477 risultavano deceduti e 815 ancora in vita (...). A ciò si aggiunga che, (...), la sopravvivenza media alla Mielofibrosi varia da 2 e 6 anni, per cui è verosimile ritenere che il numero dei pazienti ancora in vita alla data odierna sia estremamente contenuto se non del tutto residuale”.

È stato, infine, sottolineato l’elevato grado di cooperazione con l’Autorità comprovato, tra l’altro, dalla tempestività ed esaustività dei riscontri forniti, nonché l’assenza di reclami o notifiche di violazione in ordine ai trattamenti di dati personali di cui trattasi (art. 83, par. 2, lett. b) e d) del Regolamento).

2.1. Esito dell’attività istruttoria

I dati personali devono essere trattati, anche se oggetto di specifiche tecniche di pseudonimizzazione, in modo lecito, corretto e trasparente, (art. 5, par. 1 lett. a) del Regolamento). Il Codice e il Regolamento sanciscono regole specifiche per il trattamento di dati per fini di ricerca scientifica.

In particolare, in applicazione del principio di trasparenza, l’art. 14, par. 5 del Regolamento stabilisce che non si applica l’art. 14, par. da 1 a 4 (relativo agli obblighi informativi connessi alla raccolta di dati personali presso soggetti terzi), nella misura in cui “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni” (art. 14, par. 5 lett. b) del Regolamento).

In tale ambito, rilevano poi:

− le prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica -allegato n. 5 al Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del 5 giugno 2019 (doc. web n. 9124510), la violazione delle quali è soggetta alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101);

− le regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, del 19 dicembre 2018 (doc. web n. 9069637), che incidono sulla liceità e correttezza del trattamento, ai sensi dell’art. 2-quater del Codice.

Con riferimento alla vicenda in esame, si evidenzia, in particolare, che l’art. 6, comma 3, delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l´informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità, ad esempio, con le seguenti modalità:

- per trattamenti riguardanti insiemi numerosi di soggetti distribuiti sull’intero territorio nazionale, inserzione su almeno un quotidiano di larga diffusione nazionale o annuncio presso un’emittente radiotelevisiva a diffusione nazionale;

- per trattamenti riguardanti insiemi numerosi di soggetti distribuiti su un’area regionale (o provinciale), inserzione su un quotidiano di larga diffusione regionale (o provinciale) o annuncio presso un’emittente radiotelevisiva a diffusione regionale (o provinciale);

- per trattamenti riguardanti insiemi di specifiche categorie di soggetti, identificate da particolari caratteristiche demografiche e/o da particolari condizioni formative o occupazionali o analoghe, inserzione in strumenti informativi di cui gli interessati sono normalmente destinatari”.

Sulla base di quanto sopra richiamato, si evidenzia, quindi, che per i titolari del trattamento che raccolgono dati personali presso soggetti terzi per scopi di ricerca scientifica non sussiste un’eccezione assoluta all’obbligo di fornire l’informativa ai soggetti interessati nelle circostanze in cui tale adempimento rischi di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità del trattamento stesso. L’eccezione è, infatti, condizionata all’implementazione da parte del titolare del trattamento di adeguate misure, ai sensi dell’art. 89 del Regolamento, volte a tutelare i diritti, le libertà e i legittimi interessi degli interessati, anche rendendo pubbliche le informazioni, secondo le modalità indicate a titolo esemplificativo nelle richiamate regole deontologiche.

Alla luce della ricostruzione che precede e premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, si rileva che la FROM:

− quale titolare del trattamento di dati sulla salute, raccolti seppure in forma pseudonimizzata, presso un soggetto terzo per lo scopo di ricerca scientifica volto al proseguimento dello studio clinico Ernest, aveva il dovere di fornire le informazioni agli interessati ai sensi degli artt. 14, par. 5. lett. b) del Regolamento e 6, comma 3 delle regole deontologiche, rendendo pubbliche tali informazioni, secondo le modalità indicate a titolo esemplificativo nelle richiamate regole deontologiche;

− ha omesso tale adempimento avendo interpretato in maniera non corretta il rinnovato quadro normativo in materia di protezione di protezione dei dati personali.

Per tali ragioni, come emerso dalle risultanze istruttorie, il trattamento di dati personali in questione è stato effettuato in violazione del principio di trasparenza e degli obblighi informativi sanciti dal Regolamento e dalle richiamate Regole deontologiche (artt. 5, par. 1, lett. a), 14, par. 5 lett. b), del Regolamento e 6, comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice).

2.2 Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗, gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, confermando le valutazioni preliminari dell’Ufficio, si rileva l’illiceità del trattamento di dati personali effettuato dalla FROM per violazione del principio di trasparenza, di cui all’art. 5 par. 1, lett. a), del Regolamento, e degli obblighi informativi, di cui agli artt. 14, par. 5 lett. b), del Regolamento e 6, comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice.

Conseguentemente, i profili di illiceità del trattamento rilevati nel caso di specie quale conseguenza della richiamata omissione, a prescindere dalle misure successivamente adottate dal titolare del trattamento, richiedono comunque l'intervento correttivo di questa Autorità al fine di salvaguardare i diritti e le libertà fondamentali degli interessati.

In tale quadro, considerando tutte le circostanze che hanno determinato la fattispecie in esame e che la condotta ha esaurito i suoi effetti, si ritiene di qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

Infatti, va tenuto conto che, dalle risultanze degli atti, l’episodio risulta essere stato unico e isolato, determinato da una condotta colposa e ha riguardato informazioni soggette a misure di pseudonimizzazione tali per cui lo stesso titolare non era in grado di risalire all’identità degli interessati. Occorre considerare, inoltre, che l’Autorità ha preso conoscenza della violazione a seguito dell’istanza di consultazione preventiva presentata dal titolare medesimo, ai sensi degli artt. 110 del Codice e 36 del Regolamento, e che sul punto non vi sono stati reclami o segnalazioni da parte dei soggetti interessati.

Il titolare si è, inoltre, dimostrato sin da subito estremamente collaborativo con l’Autorità fornendo riscontri esaurienti e tempestivi e ha tenuto un atteggiamento responsabile e proattivo dimostrandosi prontamente disposto a porre in essere misure concrete ed efficaci per porre rimedio alla violazione occorsa. Non risultano, altresì, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento.

Sotto altro profilo, si evidenzia come le misure predisposte dal titolare del trattamento abbiano comportato la cessazione della condotta contestata risultando idonee ad assicurare la trasparenza informativa anche rispetto alla raccolta dei dati oggetto della richiamata cessione e a rimuovere ogni ostacolo in merito alle operazioni di trattamento nell’ambito dello Studio Ernest 2.0.

Si ritiene, pertanto, relativamente al caso in esame, di ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione degli artt. 5, par. 1, lett. a), 14, par. 5 lett. b), del Regolamento e 6, comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime parere favorevole, nei termini di cui in motivazione, in ordine al trattamento dei dati personali, anche inerenti a particolari categorie di dati, per finalità di ricerca medica, riferiti alla coorte di pazienti arruolati nello studio clinico multicentrico, osservazionale, retrospettivo denominato Ernest 2.0 “European Registry for Myeloproliferative Neoplasn (MPNs) — Update of ERNEST Study (Registro Europeo  sulle Neoplasie Mieloproliferative (NMP) — Aggiornamento dello studio “Ernest”; di seguito, per brevità, "Studio Ernest 2.0")”;

b) ai sensi degli artt. 57, par. 1, lett. f) del Regolamento e 166 del Codice, dichiara illecita la condotta tenuta dalla Fondazione per la Ricerca Ospedale di Bergamo, con sede legale in Bergamo, piazza OMS — Organizzazione Mondiale della Sanità n. 1, capo 24127 CF 95169260163, descritta nei termini di cui in motivazione, e ammonisce la Fondazione medesima per la violazione degli artt. 5, par. 1, lett. a), 14, par. 5 lett. b), del Regolamento e 6, comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 10 dicembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei



Vedi anche (10)