g-docweb-display Portlet

Parere ai sensi del ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento - 30 giugno 2022 [9791886]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 26 LUGLIO 2022

 

[doc. web n. 9791886]

Parere ai sensi del ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento - 30 giugno 2022

Registro dei provvedimenti
n. 238 del 30 giugno 202

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110, comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, in particolare l’art. 21;

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliera Universitaria Integrata di Verona, con sede legale in P.le A. Stefani, 1 – 37126 Verona, per la realizzazione di uno studio clinico denominato “DB Torax” (nota del 4 febbraio 2022);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva

L’Azienda Ospedaliera Universitaria Integrata di Verona (di seguito l’”Azienda”) ha presentato un’istanza di consultazione preventiva, ai sensi dell’art. 110, comma 1, ultimo capoverso del Codice e dell’art. 36 del Regolamento, in qualità di promotore dello studio osservazionale interdipartimentale, prospettico, retrospettivo, non farmacologico denominato “DB Torax” (di seguito lo “Studio”), trasmettendo il protocollo e la relativa valutazione di impatto, redatta ai sensi dell’art. 35 del Regolamento, in ragione del fatto che tra i pazienti arruolati rilevano anche soggetti deceduti o non più contattabili (nota del 4 febbraio 2022).

Lo Studio prevede la creazione di un “registro” o “banca dati” attraverso “la raccolta di dati strutturata che consenta di esaminare la popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico”. 

Nello specifico “i dati dei pazienti oggetto di trattamento comprendono:

- “dati anagrafici,

- dati di identificazione (codice paziente);

- condizioni di base dei pazienti,

- diagnosi e trattamento medico,

- quadro laboratoristico e di imaging,

- esiti dei trattamenti a distanza in termini di risultati clinici, complicazioni,

- percentuale di guarigione durante la degenza

- tassi di ricaduta in base alle diverse modalità di terapia e di follow-up”.

In base alla valutazione di impatto, sarebbe previsto altresì il trattamento di dati relativi all’origine razziale ed etnica degli interessati ed è specificato che “La finalità del trattamento è quella di creare una banca dati sulla quale costruire analisi e studi futuri volti a migliorare le conoscenze e la pratica clinica nel settore delle patologie del distretto toracico”.

Più nel dettaglio, “Le finalità per l’istituzione di questa banca dati sono le seguenti:

- Valutare l’impatto e i risultati delle diverse pratiche terapeutiche chirurgiche, mediche e radioterapiche, da sole o in associazione con terapie complementari nelle diverse condizioni patologiche maligne e benigne.

- Valutare l'impatto prognostico di fattori ambientali e professionali;

- Valutare l'impatto prognostico di fattori clinici.

- Validare le nuove edizioni di classificazione del TNM1, identificare e validare nuove caratteristiche aggiuntive per l'eventuale inclusione in future revisioni della classificazione TNM.

- Studiare nuove condizioni non incluse nel presente TNM e valutare il loro impatto prognostico (biomarkers, mutazioni presenti nel tessuto tumorale, dati clinici, residuo tumorale) nella patologia oncologica toracica.

- Valutare l'impatto prognostico di resezioni complete, incomplete e incerte, secondo le definizioni proposte dello IASLC2.

- Valutare l'impatto prognostico di nuove terapie chirurgiche da sole o in combinazione con altre metodiche.

- Valutare l'impatto prognostico di nuove terapie oncologiche da sole o in combinazione con altre metodiche.

- Valutare l'affidabilità dei metodi utilizzati nella stadiazione clinica (per quei tumori con classificazione pre e post trattamento e modalità pre- e post-chirurgica) secondo le nuove e future modifiche delle classificazioni internazionali” (punto 2 del protocollo dello studio).

A tale riguardo, nel protocollo dello Studio è specificato che “Piani di analisi statistiche dettagliate saranno impostati nei futuri protocolli di ricerca che useranno la presente banca dati come fonte di dati in modo da raggiungere gli obiettivi [degli] studi specifici”.

Lo Studio prevede che “I dati personali, ivi inclusi quelli sulla salute, [di circa 500 pazienti l’anno] verranno raccolti sia in maniera retrospettiva, a partire dal 1° Gennaio 2010, che in maniera prospettica per i prossimi 15 anni” e “saranno conservati per un periodo di 20 anni”.

Con specifico riferimento alle basi giuridiche del trattamento, l’Azienda ha rappresentato che per la raccolta prospettica dei dati, esse sono da rinvenirsi nel consenso degli interessati acquisito “previa consegna dell’informativa ai pazienti in merito al trattamento dei propri dati personali, recante in calce la relativa formula per l’acquisizione del consenso”. In relazione alla raccolta retrospettiva i dati sono già presenti nei sistemi del titolare del trattamento e raccolti in occasione delle prestazioni sanitarie. A tale riguardo, poiché “numerosi pazienti sono deceduti, ovvero non più in carico per [il] follow up (anche per scelta del singolo paziente) e non sono risultati reperibili”, non essendo possibile informarli e raccoglierne il relativo consenso, l’Azienda ha fatto ricorso alla “procedura dell’art. 110 del d.lgs. 196/2003” oggetto del presente parere. A tale proposito, l’Azienda ha rappresentato di aver “provato a contattare i pazienti selezionati da includere retrospettivamente nello Studio, ma solo meno del 10% è risultato reperibile, per cui residua una componente numerica essenziale per la validità scientifica dello Studio deceduta o non contattabile”.

Ai fini dell’arruolamento dei pazienti, “il medico verificherà i criteri di inclusione ed esclusione consultando la cartella clinica e provvederà all’arruolamento nello studio” che sarà monitorato “tenendo conto di due obiettivi: tenere traccia del reclutamento di specifici sottogruppi definiti in base alla geografia, allo stadio o alla modalità di trattamento al fine di indirizzare i dati clinici su dei sottogruppi, e dimostrare l’obiettività del campione di studio riguardo ai soggetti selezionati”.

In relazione, alle modalità del trattamento, l’Azienda ha evidenziato nella valutazione d’impatto che i dati personali verranno principalmente trattati in forma automatizzata, utilizzando una e-CRF (electronic Case Report Form) creata appositamente per lo Studio, gestiti e conservati attraverso la “piattaforma software sicura, basata sul web” denominata “REDCap (Research Electronic Data Capture)” […] “progettata per supportare l’acquisizione e l’archiviazione dei dati per studi di ricerca”. In particolare, “La piattaforma genera un codice identificativo univoco associato ad ogni soggetto coinvolto nello Studio, che consente ai ricercatori di mantenere localmente l'associazione con i rispettivi dati anagrafici. La possibilità di risalire all'origine dei dati è giustificata dalla necessità di effettuare studi di follow up per i pazienti in cura presso le Unità Operative coinvolte, oppure in caso di risultati scientifici che possano avere un impatto rilevabile per il soggetto stesso, sulla base di decisioni espresse nel consenso informato alla partecipazione allo Studio”.

L’Azienda ha indicato nella valutazione di impatto che la “durata complessiva dello Studio è pari a 15 anni, con 10 anni di raccolta retrospettiva. I dati saranno conservati per la durata di 20 anni”. Sul punto, è stato chiarito che tale periodo di conservazione si rende necessario al fine di “costruire analisi e studi futuri, volti a migliorare le conoscenze e la pratica clinica nel settore delle patologie del distretto toracico”. Trascorso tale periodo “i dati saranno resi completamente anonimi, eliminando il collegamento fra il nome del paziente e il suo pseudonimo”. È tuttavia indicato nel protocollo dello Studio che “Il Promotore si impegna a mantenere la documentazione cartacea in originale (ad es. consenso informato) per almeno 25 anni in ottemperanza alla vigente normativa”.

È stato inoltre previsto che “L’accesso in forma anonima ai dati da parte di soggetti esterni al Team di ricerca verrà vagliato di volta in volta da una commissione scientifica composta dagli sperimentatori principali e dai cosperimentatori, che deciderà insindacabilmente se concedere l’accesso ai dati per tali protocolli basandosi sulla qualità scientifica degli stessi, dando comunque per presupposto il rispetto delle indicazioni poste in questo documento di istituzione della banca dati”.

Nella valutazione d’impatto sono inoltre descritte le misure di sicurezza esistenti e pianificate che verranno implementate per la realizzazione dello Studio alla luce dei rischi che sono stati evidenziati per i diritti e le libertà fondamentali degli interessati.

L’Azienda ha rappresentato che verrà fornita, ai sensi dell’art. 13 del Regolamento, un’informativa sul trattamento dei dati personali inerenti allo Studio ai soggetti direttamente contattati.

Il richiamato Studio ha ottenuto, in data 15 febbraio 2022, il parere favorevole del Comitato Etico competente territorialmente per la sperimentazione clinica dell’Azienda.

2. La normativa applicabile

Il trattamento di dati personali deve avvenire nel rispetto della normativa prevista dal Codice e dal Regolamento. A tale riguardo, giova precisare che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1 del Regolamento).

Si considerano, invece, anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento e “WP29 Opinion 05/2014 on Anonymisation techniques”, adottato il 10 aprile 2014).

In tale contesto, il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato non solo nel rispetto delle specifiche disposizioni del Regolamento e del Codice (artt. 5, par. 1, lett. b) e e), 9, par. 2, lett. j) 89 del Regolamento e art. 110 del Codice) ma anche delle Prescrizioni relative al trattamento dei dati genetici (se necessario) e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegati 4 e 5 al provvedimento del 5 giugno 2019 (doc. web 9124510), nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica allegato A5 al Codice, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato.

Senza inficiare gli obblighi relativi al consenso, il considerando 33 del Regolamento riconosce che “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista” (artt. 5, par. 1 lett. a) 6, 7 e 9 del Regolamento; Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 del 4 maggio 2020 del Comitato europeo per la protezione dei dati, cfr. punto 7.2).

Le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica stabiliscono inoltre che “Nel manifestare il proprio consenso ad un´indagine medica o epidemiologica, l´interessato è richiesto di dichiarare se vuole conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca” prevedendo specifiche modalità per la comunicazione di tali cd incidental findings agli interessati, al fine di assicurarne il rispetto della dignità nonché la tutela dell’autodeterminazione informativa degli stessi, anche in relazione al cd “diritto di non sapere” (art. 8).

Il presupposto del consenso non è necessario “(...) quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

Si evidenzia poi che gli ulteriori trattamenti e l’ulteriore conservazione dei dati personali per scopi di ricerca scientifica sono ammessi nei limiti del quadro normativo di riferimento (cons. 50, artt. 5, par. 1, lett. b) e e), 6, par. 4 del Regolamento, punto 5.6 delle Prescrizioni per il trattamento dei dati personali per scopi di ricerca scientifica; si vedano anche A Preliminary Opinion on data protection and scientific research, adottata il 6 gennaio 2020 dall’European data protection Supervisor, (EDPS) e il Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), del 23 gennaio 2019 e il Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, del 2 febbraio 2021, adottati dall’European data protection Board (EDPB).

Proseguendo nell’indicazione delle principali disposizioni in materia di protezione dei dati personali rilevanti nella fattispecie in esame, si evidenzia infine che, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione delle stesse risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità”, fornendo al riguardo delle indicazioni a titolo esemplificativo.

3. L’attività istruttoria

Alla luce della richiamata normativa, nel corso dell’attività istruttoria (nota del 25 febbraio 2022, prot. n. 12699 e incontri dell’11 e 27 aprile 2022), l’Ufficio ha ritenuto necessario acquisire specifici elementi informativi in ordine:

- agli ulteriori scopi di trattamento, ai relativi presupposti giuridici e alle misure di cui all’art. 89 del Regolamento;

- alle modalità previste per rendere le informazioni agli interessati non direttamente contattati, ai sensi dell’art. 14, comma 5, lett. b) del Regolamento e dell’art. 6 delle Regole deontologiche;

- alle tecniche di anonimizzazione dei dati per la trasmissione degli stessi a soggetti terzi.

Con riferimento agli ulteriori scopi di trattamento, l’Azienda ha in primo luogo chiarito che “Ciò che accomuna tali specifici studi è l’utilizzo della stessa fonte di dati – vale a dire il DB Torax che contiene dati pseudonimizzati, come implementato di anno in anno per tutto il periodo di durata dello Studio [...] – dal momento che tali studi afferiscono alle medesime patologie del distretto toracico oggetto dello Studio DB Torax, con l’effetto che le finalità degli studi specifici ulteriori risultano compatibili con quelle indicate nello Studio originario”.

Ciò posto, in relazione al presupposto giuridico per la conduzione delle analisi sopra elencate, “che saranno altresì oggetto di specifici studi osservazionali spontanei” (gli “studi futuri”) è stato ritenuto che esso è da rinvenirsi nel consenso reso dagli interessati contattati in fase di arruolamento “granularizzato sulla base delle singole finalità elencate nei paragrafi 2 e 8 del protocollo dello Studio per l’istituzione del DB Torax”, ovvero nella procedura di cui all’art. 110 del Codice avanzata con l’istanza del 4 febbraio 2022, per i soggetti deceduti o non contattabili. Ciò, salva la sottoposizione dei relativi “specifici protocolli”, di volta in volta al Comitato Etico competente per la relativa approvazione.

A tale riguardo, è stato chiarito che “L’interessato può dunque liberamente decidere non solo se partecipare o meno allo Studio, ma anche se i dati raccolti nell’ambito dello Studio possano essere utilizzati per gli specifici studi che saranno condotti nelle aree elencate nel paragrafo 2 del protocollo dello Studio. Quanto sopra tiene conto del “EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health reserach” adottato il 2 febbraio 2021, e segnatamente di quanto richiesto ai paragrafi 20 e seguenti per l’applicazione dell’art. 5, par. 1, lett. b), dell’art. 89 e del Considerando 33, RGPD”.

L’Azienda ha fornito anche specifici chiarimenti in ordine ai tempi di conservazione dei dati indicati in 20 anni dalla chiusura dello studio, “intendendosi per tale la data di arruolamento dell’ultimo paziente”. In particolare, è stato rappresentato che “Tale termine è stato determinato tenendo conto della necessità di permettere la realizzazione di studi osservazionali con lungo follow-up”. A tale riguardo è stato ribadito infatti che “il DB Torax costituirà la base di partenza per successivi studi spontanei, comunque afferenti alle patologie del distretto toracico, condotti in ambito aziendale su dati che, in caso di necessità, possono consentire agli aventi titolo di risalire all’identità dei pazienti coinvolti”. L’Azienda ha sottolineato, inoltre, che occorre “considerare che nei tumori del distretto toracico le curve di sopravvivenza sono a cinque/dieci anni dall’intervento, e che fra i pazienti arruolati nello Studio ci sono persone con un’aspettativa di vita normale post intervento, e dunque non è infrequente la necessità di seguire nel tempo, anche per lungo tempo, l’evoluzione della loro malattia”.

In relazione alle misure di cui all’art. 89 del Regolamento, l’Azienda, nel ribadire tutto quanto sopra in ordine alle tecniche di pseudonimizzazione, ha precisato che “Gli unici soggetti che potranno accedere al DB Torax, e alla e-CRF dello Studio, sono i ricercatori di AOUI Verona che parteciperanno allo Studio e agli studi specifici, debitamente autorizzati ex art. 29 del RGPD e art. 2-quaterdecies del Codice, con espressa esclusione di qualsiasi soggetto terzo”.

È stato precisato, inoltre, che “al termine dello Studio i dati presenti nel DB Torax saranno conservati per 20 anni, e successivamente anonimizzati”.

Con riferimento all’anonimizzazione dei dati, è stato precisato che “AOUI Verona adotterà la tecnica della randomizzazione mediante aggiunta di rumore (par. 3.1.1. del WP216 “Parere 05/2014 sulle tecniche di anonimizzazione” adottato dal WP29 in data 10/04/2014), eliminando dalla e-CRF e, conseguentemente, dal DB Torax alcuni parametri” e che i dati sanno ceduti a terzi solo in forma anonimizzata.

Più nello specifico, in relazione a tale aspetto è stato chiarito che “Le tecniche di anonimizzazione adottate sono le seguenti:

A) ELIMINAZIONE dalla e-CRF e, conseguentemente, dal DB Torax di alcuni parametri;

B) RANDOMIZZAZIONE mediante aggiunta di rumore [...]

C) GENERALIZZAZIONE mediante aggregazione e K-anonimato [...]” .

L’”eliminazione” avrà ad oggetto 51 variabili comprensive di quelle che conducono alla identificazione diretta degli interessati (“record_id” e “patient code”), ulteriori variabili eccedenti o idonee ad accrescere il rischio di reidentificazione (es. data di nascita firma del consenso informato), nonché quelle “utili più ai fini organizzativi dello Studio che ai fini di analisi dei dati”.

Le variabili oggetto di “randomizzazione” saranno invece 57 e riguarderanno 3 categorie: “valore in anni per l’età all’arruolamento (“age_at_enrollment”) [...] l’età alla diagnosi (“age_diagnosis”), e [...] giorni per le restanti variabili della sezione che riguardano tutte le date riportate nel DB Torax”. A tale riguardo, è stato chiarito che “La tecnica di randomizzazione con aggiunta di rumore prevede che si fissi per una variabile un intervallo di valori all’interno dei quali scegliere in modo casuale quello a cui sommare o sottrarre il valore di origine della variabile sottoposta a tale tecnica”.

Saranno invece 293 le viabili oggetto di “generalizzazione”. Sul punto è stato chiarito in particolare che “La tecnica di generalizzazione mediante aggregazione e K-anonimato consiste nell’assicurare che ogni valore relativo a un soggetto interessato sia condiviso da almeno un numero minimo (k) di altre persone all’interno dell’insieme. Pertanto, se ciò non avviene si deve prevedere di aggregare i soggetti in gruppi che contengano almeno k soggetti”.

Da ultimo, in relazione alle modalità per rendere pubbliche le informazioni da fornire agli interessati in relazione ai dati raccolti presso terzi, l’Azienda ha dichiarato che “provvederà a informare l’utenza della promozione dello Studio e dei correlati studi specifici mediante apposita pagina informativa pubblicata sul proprio sito web, da diffondere sui canali social dell’Azienda, invitandola a mettersi in contatto, per quanto di ragione, con le UOC competenti, in modo da raggiungere i pazienti non contattabili” (note 17 marzo e del 24 maggio 2022).

4. Valutazioni dell’Autorità

4.1 Le basi giuridiche del trattamento

L’Azienda, in qualità di Promotore dello Studio DB Torax e di titolare del trattamento, come previsto dall’art. 110 del Codice e dall’art. 36 del Regolamento, ha presentato al Garante il protocollo e la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello stesso.

Dalla documentazione esaminata, il Garante ritiene che l’Azienda abbia comprovato la necessità di creare il richiamato data base, rappresentando come esso possa consentire “di esaminare la popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico, che comprenda nel dettaglio: le condizioni di base dei pazienti, la loro diagnosi, il loro trattamento, il quadro laboratoristico e di imaging, nonché gli esiti dei trattamenti a distanza […]. Questo permetterà di generare e testare ipotesi biologiche, fra loro correlate da numerosi fattori clinici con analisi multivariate e controlli di qualità delle procedure cliniche” e che “La raccolta di queste informazioni, permetterà di avere un quadro globale in termini di sopravvivenza e di poter comparare e valutare i risultati dei nostri interventi”. Il progetto e la valutazione d’impatto non presentano infatti elementi tali da far ritenere la costituzione del data base ed i relativi trattamenti sproporzionati rispetto alle finalità che si intendono perseguire. Ciò rilevato in particolare che il progetto, nel prevedere la costituzione del DB Torax presso un unico titolare del trattamento, esclude che ai dati ivi raccolti possano fare accesso soggetti terzi esterni alla struttura del titolare se non previa anonimizzazione degli stessi.

L’Azienda ha altresì correttamente individuato le basi giuridiche (consenso o art. 110 del Codice) per la costituzione del predetto data base, che contiene un insieme ragionato di dati volto a costituire il punto di partenza per la realizzazione di specifici studi futuri anche longitudinali (follow-up) relativi alle patologie toraciche, neoplastiche e non, afferenti ai nove obiettivi indicati al punto 2 del protocollo e sopra richiamati, avendo anche adeguatamente comprovato l’impossibilità a contattare tutti i soggetti che si intendono arruolare nello studio. A tale proposito, l’Azienda ha rappresentato di aver “provato a contattare i pazienti selezionati da includere retrospettivamente nello Studio, ma solo meno del 10% è risultato reperibile, per cui residua una componente numerica essenziale per la validità scientifica dello Studio deceduta o non contattabile”.

Medesime considerazioni non possono invece essere formulate in relazione ai presupposti giuridici individuati per le successive fasi del trattamento aventi ad oggetto la conduzione di quelli che sono definiti come “ulteriori e specifici studi”. A tal fine l’Azienda intenderebbe, infatti, limitarsi ad acquisire il parere favorevole del competente comitato etico a livello territoriale, in virtù della presunta compatibilità di tali scopi con quello della raccolta.

-Il consenso a fasi progressive

In relazione alle suddette successive fasi del trattamento aventi ad oggetto la conduzione di quelli che sono definiti come “ulteriori e specifici studi”, occorre rilevare che la ricostruzione giuridica prospettata non appare corretta in quanto la fattispecie , piuttosto che riguardare ipotesi di trattamenti di dati personali per il perseguimento di scopi ulteriori (e compatibili) rispetto a quello della raccolta, è  riconducibile a quella contemplata dal considerando 33 del Regolamento che, in circostanze residuali, ammette che gli interessati possano prestare un consenso a fasi progressive per il trattamento dei dati personali per scopi di ricerca scientifica, quando al momento della raccolta non è possibile individuare pienamente le specifiche finalità del trattamento. Ciò, tenuto conto che, anche in relazione ai trattamenti in esame, non è possibile derogare al requisito della specificità e granularità del consenso (art. 6 e 7 del Regolamento e par. unto 7.2 delle Linee guida n. 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679).

Nel caso in esame, l’Azienda infatti, al momento della raccolta dei dati, è in condizione di acquisire il consenso degli interessati solo alla raccolta e alla conservazione degli stessi all’interno del DB Torax (di seguito per brevità definito “primo consenso”), preoccupandosi di acquisire un ulteriore consenso per i nove ambiti di indagine indicati al richiamato punto 2 del protocollo (di seguito per brevità “secondo consenso”). 

Invero, seppur il titolare del trattamento preveda, con un apprezzabile sforzo in termini di accoutability, di acquisire al momento della raccolta dei dati le richiamate due manifestazioni di volontà, esse risultano sostanzialmente sovrapponibili e di per sé sole non idonee a legittimare i trattamenti di dati personali per la realizzazione di ulteriori e, comunque, futuri progetti di ricerca, allo stato non definiti. I nove ambiti di indagine indicati al richiamato punto 2 del protocollo rappresentano, infatti, le macro finalità di ricerca per le quali viene costituito il DB. In assenza di tali indicazioni non sarebbe stata possibile neanche la raccolta e conservazione dei dati nel DB, per difetto della preliminare indicazione della finalità del trattamento, destinata ad essere rappresentata pienamente nei futuri progetti di ricerca (art. 5, par. 1, lett. b) del Regolamento).

A tale riguardo, si sottolinea che il Comitato europeo per la protezione dei dati ha da ultimo ribadito come “la nozione di ricerca non possa essere estesa oltre il suo significato comune e che per “ricerca scientifica” in questo contesto si intenda un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi”, con ciò confermando come in tale settore lo scopo del trattamento vada individuato nello specifico progetto di ricerca che si intende realizzare (Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, cit.).

Inoltre, si evidenzia che le Regole deontologiche prevedono espressamente che la ricerca deve essere effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare (art. 3)

Nel caso in esame, peraltro, è lo stesso titolare a dichiarare che gli studi futuri, anche quelli inerenti ai nove ambiti di osservazione indicati nel protocollo dello Studio, saranno oggetto di specifici protocolli che verranno sottoposti ai Comitati etici territorialmente competenti per l’acquisizione del previsto parere. Ciò dimostra come la finalità determinata e specifica del trattamento verrà individuata a fasi progressive in maniera completa e puntuale solo all’esito dell’approvazione dei futuri progetti di ricerca.

Con riferimento ai pazienti non contattabili è la consultazione preventiva in esame, unitamente al parere favorevole del Comitato etico territorialmente competente, a costituire il presupposto giuridico equipollente al consenso, per la raccolta e la conservazione dei dati nel data base.

Ne consegue che l’Azienda, in qualità di titolare del trattamento, all’esito dell’approvazione dei futuri progetti di ricerca da parte dei competenti Comitati etici, dovrà integrare le manifestazioni di volontà degli interessati già raccolte, con specifici consensi per giungere, in via progressiva ad ottenere un presupposto giuridico idoneo al trattamento dei dati per scopi di ricerca scientifica (Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 del 4 maggio 2020 del Comitato europeo per la protezione dei dati, cfr. punto 7.2) ovvero laddove si trovi in una delle condizioni di cui all’art. 110 del Codice e al punto 5.3 delle Prescrizioni, dovrà avanzare specifiche istanze di consultazione preventiva ai sensi del predetto art. 110 del Codice.

Sul punto, il Comitato europeo per la protezione ha chiarito, infatti, che “il considerando 33 non inficia gli obblighi relativi al requisito del consenso specifico. Ciò significa che, in linea di principio, i progetti di ricerca scientifica possono includere dati personali sulla base del consenso soltanto se hanno una finalità ben descritta” (cfr. par. 7.2 e punto 155), ammettendo in via eccezionale e residuale che “quando non è possibile specificare appieno le finalità della ricerca, il titolare del trattamento deve cercare altri modi per garantire il rispetto dell’essenza dei requisiti del consenso, ad esempio permettendo agli interessati di acconsentire a una finalità di ricerca in termini più generali e a fasi specifiche di un progetto di ricerca che si sa già sin dall’inizio avranno luogo. Mano a mano che la ricerca avanza, sarà quindi possibile ottenere il consenso per le fasi successive del progetto prima dell’inizio della fase corrispondente. Tuttavia, tale consenso dovrebbe comunque essere in linea con le norme deontologiche applicabili alla ricerca scientifica” (cfr. par. 7.2 e punto 158).

- Gli ulteriori trattamenti

Appare quindi inidoneo il riferimento riportato dal titolare del trattamento nella documentazione in atti - peraltro in forma del tutto incidentale con la dichiarazione dell’Azienda che “le finalità degli studi specifici ulteriori risultano compatibili con quelle indicate nello Studio originario”-  volto presumibilmente a fondare il presupposto giuridico per la realizzazione degli ulteriori specifici studi sulla presunzione di non incompatibilità degli stessi con lo scopo della raccolta, in quanto sarebbero sempre incentrati sulle patologie del torace (cons. 50 e art 5, par. 1, lett. b) del Regolamento).

Al riguardo, si sottolinea, come sopra rilevato, che al momento della raccolta le finalità del trattamento non sono puntualmente definite se non per ciò che concerne la creazione del data base. È l’Azienda stessa infatti a dichiarare che “La finalità del trattamento è quella di creare una banca dati sulla quale costruire analisi e studi futuri volti a migliorare le conoscenze e la pratica clinica nel settore delle patologie del distretto toracico”.

Ne discende che i consensi raccolti per la creazione del DB Torax (o, in alternativa, la procedura di consultazione preventiva in esame) non possono costituire anche la base giuridica per ulteriori trattamenti, poiché essi rappresentano una manifestazione di volontà ancora parziale che si andrà a completare in maniera progressiva con le ulteriori e specifiche richieste di consenso che dovranno essere avanzate dall’Azienda in occasione della realizzazione degli studi futuri (cons. 50, art. 6 par. 4, del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, cit.).

Secondo il considerando 50 del Regolamento, infatti, per svolgere ulteriori trattamenti sul presupposto di liceità del trattamento originario occorre che il titolare abbia verificato che esso soddisfi tutti i requisiti richiesti dal Regolamento. Ciò, fermo restando che il titolare del trattamento deve verificare altresì la possibilità, in concreto, che la base giuridica del primo trattamento possa supportare anche eventuali trattamenti ulteriori (cfr. cons. 50, seconda parte, del Regolamento).

Sotto altro profilo ferme le ulteriori e più specifiche indicazioni, in corso di elaborazione, che proverranno dal Comitato europeo per la protezione dei dati e dal Garante europeo su tale tematica, deve rappresentarsi l’esigenza di ricondurre la “presunzione di non incompatibilità del fine di ricerca” di cui all’art. 5, par. 1, lett. b) del Regolamento, alla natura di eccezione che le è propria e che in quanto tale non ammette interpretazioni analogiche o estensive, vieppiù nelle ipotesi di trattamenti di particolari categorie di dati per le quali sussiste, in termini generali, un divieto di trattamento (cfr. Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati, del 23 gennaio 2019 cit.; A preliminary Opinion on data protection and scientific research, del 6 gennaio 2020, cit.; Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, del 2 febbraio 2021 cit,; provvedimento del Garante del 1° novembre 2021, doc. web 9731827).Tutto ciò premesso, si ritiene pertanto necessario che l’Azienda acquisisca anche ulteriori e specifici consensi presso i pazienti censiti nel DB Torax in relazione a ciascuno degli studi di ricerca futuri che intenderà realizzare, all’esito dell’approvazione degli stessi progetti di ricerca da parte dei competenti Comitati etici.

Laddove l’Azienda si trovasse in una delle condizioni di cui all’art. 110 del Codice e al punto 5.3 delle Prescrizioni, in luogo dell’acquisizione del consenso, dovrà avanzare specifiche istanze di consultazione preventiva ai sensi del predetto art. 110 del Codice.

4.2 Tempi di conservazione

Come sopra rilevato, i tempi di conservazione dei dati sono indicati in 20 anni a decorrere dalla chiusura dello studio, “intendendosi per tale la data di arruolamento dell’ultimo paziente”. L’arruolamento dei pazienti è previsto che duri 15 anni.

In altri termini, l’Azienda tratterà dati personali per un periodo complessivo di 35 anni, di cui i primi 15 destinati all’arruolamento dei pazienti nonché allo svolgimento di specifici studi di ricerca e i successivi 20 anni impiegati solo per finalità di ricerca scientifica.

Tenuto conto delle motivazioni addotte dal titolare del trattamento, richiamate in particolare al punto 3 del presente provvedimento, si ritiene che il tempo di conservazione indicato sia proporzionato rispetto alle finalità della raccolta.

Si ritiene tuttavia necessario che venga espunta la previsione riportata nel protocollo di una conservazione dei dati personali per 25 anni. Essa infatti sembrerebbe essere desunta dalla disciplina di cui al Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio del 16 aprile 2014 sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE, in base al quale “A meno che il diritto dell'Unione preveda un periodo di archiviazione maggiore, il promotore e lo sperimentatore conservano il contenuto del fascicolo permanente della sperimentazione clinica per almeno venticinque anni dalla conclusione della medesima. Tuttavia, le cartelle cliniche dei soggetti sono archiviate in conformità del diritto nazionale” (art. 58). Tale riferimento si ritiene inconferente visto che lo Studio in esame non è volto alla sperimentazione di farmaci, anzi è espressamente definito come non farmacologico.

4.3 Tipologie di dati trattati

Nell’ambito dello Studio il titolare del trattamento dichiara di raccogliere, tra gli altri, anche dati inerenti all’origine razziale ed etnica degli interessati.

In via preliminare, si ritiene che i dati indicati nel protocollo dello Studio siano proporzionati rispetto alla finalità sottesa alla costituzione del richiamo DB Torax. Resta inteso che, in occasione della realizzazione degli Studi futuri, l’Azienda, in omaggio al principio di minimizzazione dei dati, dovrà selezionare ed estrarre dal data base solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità che intenderà perseguire (art. 5, par. 1, lett. c) del Regolamento).

In merito ai dati inerenti all’origine razziale ed etnica degli interessati, si ritiene opportuno rappresentare che le citate Prescrizioni stabiliscono, al punto 5.4, che “In applicazione del principio di minimizzazione, il trattamento di dati personali per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico può riguardare i dati idonei a rivelare lo stato di salute degli interessati e, solo ove indispensabili per il raggiungimento delle finalità della ricerca, congiuntamente anche i dati idonei a rivelare la vita sessuale e l´origine razziale ed etnica (art. 5, par. 1, lett. c), Regolamento UE 2016/679)”. Si raccomanda pertanto che tale circostanza sia valutata e adeguatamente motivata nei singoli progetti di ricerca per i quali sarà previsto il trattamento di tali informazioni.

4.4 Le misure tecniche e organizzative implementate

Dalla valutazione di impatto presentata dall’Azienda, emerge che sono state predisposte misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio nonché per assicurare effettiva applicazione al principio di minimizzazione dei dati. È stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli (artt. 5, par. 2 lett. c), f), 89 e 32 del Regolamento).

Resta inteso che il titolare del trattamento dovrà svolgere una specifica valutazione d’impatto in relazione ai progetti di ricerca futuri tenendo conto, in un’ottica di semplificazione, che una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevali analoghi (art. 35, par. 1, ultimo periodo del Regolamento).

Il Garante, inoltre, prende positivamente atto delle tecniche di anonimizzazione individuate dall’Azienda, da ultimo nella nota del 24 maggio 2022 e richiamate al precedente punto 3, che da una parte assicurano in termini generali la riduzione del rischio di reidentificazione degli interessati ad un livello accettabile, dall’altro favoriscono un’efficace circolazione di informazioni nel contesto della ricerca scientifica.

In tale quadro, tuttavia, si ritiene necessario che l’Azienda si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nella banca dati.

4.5. Oneri informativi

Si prende favorevolmente atto delle misure intraprese dall’Azienda per assicurare l’efficace attuazione del principio di trasparenza, anche in relazione ai soggetti non contattabili (artt. 13 e 14 del Regolamento e punto 6.3 delle Regole deontologiche). Resta inteso che nel contattare gli interessati per l’acquisizione degli ulteriori e più specifici consensi necessari per la realizzazione degli studi futuri, questi dovranno essere informati in relazione agli aspetti ancora non noti del trattamento (artt. 5, par. 1 e 13 del Regolamento). In relazione ai pazienti non contattabili, tali ulteriori informazioni dovranno essere rese nelle forme di cui all’art. 14, par. 5, lett. b) del Regolamento e art. 6, comma 3 delle Regole deontologiche.

Si raccomanda che le informative predisposte per gli interessati arruolati negli studi evidenzino la facoltatività per ciascuno di essi di conoscere o meno eventuali scoperte inattese che emergano a loro carico durante la ricerca (art 8 delle Regola deontologiche).

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime parere favorevole all’Azienda Ospedaliera Universitaria Integrata di Verona, Piazzale Aristide Stefani, 1 - 37126 Verona, Partita Iva/C.F. 03901420236, sul trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica, nello studio osservazionale interdipartimentale, prospettico e retrospettivo, su pazienti sottoposti a interventi del distretto toracico per patologie neoplastiche, infettive, degenerative e traumatiche denominato “DB Torax” a condizione che:

1. l’Azienda acquisisca anche ulteriori e specifici consensi presso i pazienti censiti nel DB Torax in relazione a ciascuno degli studi futuri che intenderà realizzare ovvero avanzi istanze di consultazione preventiva, ai sensi dell’art. 110 del Codice in riferimento ai pazienti non contattabili o deceduti, laddove si trovi in una delle condizioni di cui al punto 5.3 delle Prescrizioni (par. 4.1);

2. venga espunta la previsione riportata nel protocollo di una conservazione dei dati personali per 25 anni (par. 4. 2);

3. l’Azienda si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nella banca dati (par. 4.4).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 giugno 2022

                                          IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

[ndr] Il sistema TNM è un mezzo universalmente accertato per definire l’estensione anatomica della malattia neoplastica ricorrendo alla valutazione di tre parametri quali: l’estensione del tumore primario (fattore T), il coinvolgimento linfonodale (fattore N) e la presenza di eventuali metastasi a distanza (fattore M) (cfr. Linee guida AIOM, Associazione Italiana di Oncologia Medica, sulle Neoplasie del Polmone, edizione 2020 a https://www.aiom.it/wp-content/uploads/2020/10/2020_LG_AIOM_Polmone.pdf.

2 [ndr] IASLC - International Association for Study Lung Cancer https://www.iaslc.org/.