[doc. web n. 9919999]

Provvedimento del 6 luglio 2023

Registro dei provvedimenti
n. 285 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla Società Sanofi Aventis Group SA, con sede a Parigi, per la realizzazione dello studio osservazionale retrospettivo sul "rischio tromboembolico e mortalità in pazienti affetti da malattia da agglutinine fredde (CAD) in paesi europei: un'analisi retrospettiva delle cartelle cliniche" (Thromboembolic Risk and Mortality of Patients with Cold Agglutinin Disease (CAD) in European Countries: A Retrospective Chart Review) (nota del 28 novembre 2022);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

Con nota del 28 novembre 2022, la Società Sanofi Aventis Group SA (di seguito “Società” o “Promotore”) ha presentato un’istanza di consultazione preventiva, ai sensi dell’art. 110, comma 1, ultimo capoverso del Codice e dell’art. 36 del Regolamento, per la realizzazione, in qualità di promotore, dello studio retrospettivo, osservazionale, "rischio tromboembolico e mortalità in pazienti affetti da malattia da agglutinine fredde (CAD) in paesi europei: un'analisi retrospettiva delle cartelle cliniche" (Thromboembolic Risk and Mortality of Patients with Cold Agglutinin Disease (CAD) in European Countries: A Retrospective Chart Review) (di seguito “Studio”), in ragione del fatto che esso prevede anche l’arruolamento di pazienti deceduti.

Si tratta di uno studio multicentrico da condurre in circa 12 centri partecipanti, in Italia, Germania e Austria, che prevede l’arruolamento di circa 170 pazienti in totale ed è volto a esaminare le “cartelle cliniche di pazienti affetti da malattia di agglutinine fredde (di seguito "CAD") diagnosticata nel periodo dal 1 gennaio 2009 al 1 gennaio 2019, con il fine primario di valutare il tasso di incidenza di eventi trombotici (di seguito "TEs") in pazienti affetti da CAD, e fini secondari di caratterizzare i TES nel CAD e i fattori di rischio per lo sviluppo di TES nel CAD, stimare i tassi di mortalità nel CAD per qualsiasi causa anche sottostante, valutare l'utilizzo delle risorse sanitarie associate ai TES nel CAD”.

Nel protocollo e nella lettera informativa ai pazienti viene specificato che lo Studio ha “lo scopo [di] valutare i tassi di incidenza degli eventi trombotici nella CAD” che sono legati “alla formazione di un coagulo di sangue in un vaso sanguigno che ostruisce il flusso sanguigno attraverso il sistema circolatorio. Lo studio consentirà anche di analizzare questi eventi trombotici e i fattori di rischio per il loro sviluppo nella CAD. Saranno inoltre valutati l’utilizzo delle risorse sanitarie associate a eventi trombotici nella CAD e, infine, saranno stimati i tassi di mortalità nella CAD […]”.

Con riferimento alle basi giuridiche dei trattamenti di dati personali svolti nell’ambito dello Studio, la Società ha rappresentato nell’istanza avanzata che esse devono essere rinvenute nel “consenso ex art. 6, par. 1, letta a) e art. 9, par. 2, lett. a) Reg. UE 2016/679 (di seguito "RGPD"), previa consegna di un'informativa sul trattamento dei dati ex art. 13 RGPD (allegato 1)” per i pazienti ancora in vita. Tuttavia, poiché una “parte dei pazienti arruolabili per la raccolta retrospettiva risultano essere deceduti […]”, rispetto a tali pazienti quest’ultima ha dichiarato che “tratterà i dati per fini di ricerca scientifica applicando quale base giuridica il legittimo interesse ex art. 6 par. 1, lett. f) RGPD nel rispetto di quanto dispone l'art. 110 del d.lgs, 196/2003 e previo parere favorevole del Garante, e quale deroga al trattamento delle categorie particolari di dati l'art. 9, par. 2, lett. j) in conformità all'art. 89, par. 1, RGPD”. E’ stato inoltre evidenziato che “Il Centro [partecipante] adotterà quale base giuridica l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento ex art. 6, par. 1, lett. e), e il trattamento necessario ai fini di ricerca scientifica in conformità all'art. 89, par. 1  del RGPD ex art. 9, par. 2, lett. j) RGDP, nel rispetto di quanto previsto dall'art. 110 del d.lgs. 196/2003” e che entrambi “rispetteranno le regole deontologiche per trattamenti statistici e ricerca scientifica sub Allegato A del d. lgs. 196/2003 e il Provvedimento del Garante per la protezione dei dati personali 146 del 5 giugno 2019 recante le prescrizioni relative al trattamento di dati personali per scopi di ricerca scientifica”.

Tali basi giuridiche erano altresì indicate nella valutazione d’impatto e nell’informativa sul trattamento dei dati personali originariamente predisposte dalla Società per i pazienti da arruolare nello Studio.

In relazione, alle modalità del trattamento, la Società ha dichiarato nell’istanza e indicato nella valutazione d’impatto -“redatta dalla società Cerner Enviza France SAS, con sede […] in Parigi”- incaricata dal Promotore in qualità di CRO a svolgere le attività connesse allo Studio e a tal fine designata responsabile del trattamento ex art. 28 RGPD - che i dati dei pazienti “estratti dalle cartelle cliniche saranno registrati in una scheda elettronica di raccolta dati (di seguito "eCRF") (Allegato 2) mediante utilizzo del software Viedoc su piattaforma EDC in modalità pseudonimizzata attribuendo ad ogni paziente un codice univoco (Patient ID) di 9 cifre (3 cifre per il codice del paese, 3 per il sito e 3 per il soggetto arruolato), la cui chiave di decodifica è posseduta dallo sperimentatore principale del Centro”.

La piattaforma “EDC” è fornita dalla società Viedoc Technologies ABI con sede in Svezia, di cui si avvale la richiamata CRO, Cerner Enviza France SAS, all’uopo nominata da quest’ultima responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, come indicato nell’ultima versione della Valutazione di impatto trasmessa in atti.

Per la conduzione dello Studio, la Società ha dichiarato di avvalersi altresì della Società Cernez Enviza Italia S.r.l., con sede in Milano, la quale è stata in particolare incaricata di svolgere le “attività dello Studio (site management e attività di monitoring), sottomissione della documentazione richiesta al Comitato Etico, negoziazione e sottoscrizione della contrattualistica con il Centro”.

Nella valutazione d’impatto, redatta dal sopra citato responsabile del trattamento (la società Cerner Enviza France SAS) e convalidata dal responsabile della protezione dei dati di Sanofi Aventis R&D, è altresì rappresentato che il “monitoraggio dello studio sarà condotto dai monitor locali. Il monitoraggio remoto che copre la revisione della documentazione del paziente e la revisione della qualità dei dati estratti dalle cartelle cliniche del paziente sarà condotto almeno una volta in ciascun sito partecipante”.

I tempi di conservazione sono stati previsti in 5 anni “dopo la firma del rapporto di studio clinico” sulla base del “Regolamento Europeo sulle Sperimentazioni Cliniche (31 gennaio 2022)” e la Società ha evidenziato che a conclusione di tale periodo è prevista la “cancellazione o anonimizzazione dei dati”.
Nella valutazione d’impatto sono inoltre descritte le misure di sicurezza tecniche e organizzative che verranno implementate per la realizzazione dello Studio alla luce dei rischi che sono stati evidenziati per i diritti e le libertà fondamentali degli interessati.

Con riferimento al principio di trasparenza e all’obbligo di fornire le informative agli interessati, la Società, per i pazienti ancora in vita, ha rappresentato di aver inviato la lettera informativa e il modulo del consenso informato che reca il seguente paragrafo “Riservatezza e informazioni sulla protezione dei dati personali”.

Nella lettera informativa ai pazienti viene rappresentato, diversamente da quanto indicato nell’istanza, che “L’azienda sponsor, Sanofi-Aventis Groupe, azienda farmaceutica con sede in Francia, ha delegato la sua affiliata Sanofi US, con sede negli Stati Uniti d’America, a organizzare e finanziare questo studio […]” e che la Società italiana “Cerner Enviza Italia Srl, commissionata da Sanofi US, gestirà e condurrà lo studio per conto di Sanofi US”.

Nella richiamata sezione sulla “Riservatezza e informazioni sulla protezione dei dati personali” dell’informativa sul trattamento dei dati personali è scritto che “Sanofi US (un’affiliata di Sanofi-Aventis Group), azienda sponsor dello studio, è il “titolare del trattamento dati” per quanto concerne i dati dello studio ed è responsabile di assicurare la tutela dei suoi dati personali e il rispetto dei diritti che le sono garantiti dalle leggi sulla protezione dei dati personali” e che “I legittimi interessi perseguiti dal Titolare del trattamento dati costituiscono la base legale per il trattamento dei suoi dati personali in conformità all’Articolo 6.1.f del GDPR. Il trattamento dei dati si basa sull’esecuzione di un compito di interesse pubblico e sul conseguimento delle finalità della ricerca scientifica descritte in precedenza, in conformità all’Articolo 9.2.j del GDPR”.

Nel modulo di “dichiarazione del consenso informato” è prevista la seguente dicitura: “La mia firma su questo modulo di consenso conferma [tra le altre cose] che “[…] Acconsento alla raccolta, conservazione, trattamento, trasferimento e utilizzo dei miei dati personali, secondo quanto illustrato nelle informazioni riportate in precedenza. Non ho obiezioni alla partecipazione a questo studio e al trattamento dei miei dati personali nei modi e per le finalità descritte nella Lettera informativa per i pazienti” e che “Firmando il presente modulo di consenso informato, accetto volontariamente di partecipare a questo studio”. Esso contiene inoltre una specifica sezione volta alla raccolta del consenso alla partecipazione e ricerche future del seguente tenore: “La mia partecipazione a ricerche future: conservazione e utilizzo dei miei dati codificati come spiegato a pagina 6 del presente documento. Firmando nello spazio sottostante, acconsento inoltre specificatamente alla mia partecipazione a ricerche future”.

Lo Studio infine ha ottenuto il parere favorevole del Comitato etico territorialmente competente, del 15 marzo 2022, vincolato al rispetto della normativa nazionale e regionale (compresa quella in materia di tutela dei dati personali), acquisito agli atti del procedimento.

Con nota del 20 dicembre 2022 (prot. n. 83814), l’Ufficio, avendo rilevato alcune criticità in ordine all’applicazione della disciplina in materia di protezione dei dati personali nell’ambito del progetto esaminato, ha rivolto alla Società una richiesta di informazioni, ai sensi dell’art. 157 del Codice.

Le principali criticità hanno riguardato i ruoli dei soggetti coinvolti nel trattamento dei dati, rilevando in particolare che dalla documentazione trasmessa non era dato comprendersi se la titolarità del trattamento fosse in capo alla società francese, Sanofi Aventis Group SA, ovvero alla sua affiliata Sanofi US, con sede negli Stati Uniti d’America. In tale evenienza è stato chiesto alla Società, di evidenziare le condizioni di liceità per il trasferimento dei dati personali e sulla salute negli Stati Uniti d’America.

Ulteriore punto di criticità ha riguardato le basi giuridiche del trattamento, atteso che nella documentazione trasmessa, come sopra riportato, ne risultavano indicate svariate anche tra loro incompatibili. L’Ufficio ha altresì evidenziato che “Laddove la base giuridica è rappresentata dal consenso dell’interessato, esso deve [...] essere specifico oltre che manifestato per iscritto e non può essere incluso nella manifestazione di consenso all’adesione volontaria alla ricerca come emerge dal documento denominato “Lettera informativa per i pazienti e Modulo per il consenso informato”.

È stato sottolineato, inoltre, come la valutazione d‘impatto debba essere redatta dal titolare del trattamento e non dalla CRO, incaricata della gestione organizzativa dello Studio e all’uopo nominata responsabile del trattamento ai sensi dell’art. 28 del Regolamento. Ciò, fermo restando che il responsabile del trattamento assiste “il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento” (art. 28, par. 3 lett. f) del Regolamento).

In relazione ai dati raccolti presso i terzi, l’Ufficio ha rilevato che non risultavano indicate le modalità con le quali la Società intendesse in concreto rendere pubbliche le informazioni da fornire agli interessati (art. 14, par. 5, lett. b) del Regolamento e art 6, comma 3 delle Regole deontologiche, allegato A5 al Codice).

Per quanto riguarda l’anonimizzazione dei dati, infine, l’Ufficio ha sottolineato l’assenza dell’indicazione delle misure da porre in essere al fine di evitare il rischio di reidentificazione degli interessati.

La Società, anche a causa di un precedente errore di invio, ha fatto pervenire il proprio riscontro del 3 febbraio 2023, a mezzo Pec, in data 17 marzo 2023 (acquisita agli atti del procedimento in data 20 marzo 2023).

Nel riscontro fornito la Società ha indicato ciascuno dei centri partecipanti con i relativi sperimentatori coinvolti, allegando il parere favorevole dei Comitati etici competenti.

Con riferimento alla titolarità del trattamento, la Società, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha rappresentato che “Sanofi Aventis Groupe SA, […] è definita come promotore dello studio e pertanto titolare del trattamento dei dati relativi a questo studio. Sanofi Aventis Groupe SA ha determinato le finalità per le quali i dati personali vengono trattati e le modalità di trattamento dei dati personali.” Al riguardo, è stato precisato che “al fine di garantire la coerenza con la politica di sponsorizzazione degli studi clinici di Sanofi, è stato deciso di modificare l'identità del promotore per sostituire Sanofi US con Sanofi Aventis Groupe SA. Sanofi US non è pertanto il titolare del trattamento dei dati di questo studio”.

La Società ha quindi modificato in tal senso il modulo di informativa al paziente e consenso informato e il protocollo dello Studio. Tali documenti, nella loro versione aggiornata saranno nuovamente sottoposti ai comitati etici territorialmente competenti “non appena si saprà il parere definitivo del Garante”.

Con riferimento alle basi giuridiche del trattamento, la Società ha precisato che “La liceità del trattamento per soggetti vivi si basa sul consenso al trattamento dei propri dati personali per una o più specifiche finalità come descritte all'art. 6, paragrafo 1, lett. a del Regolamento. Tale consenso viene raccolto attraverso il modulo di consenso informato per lo Studio liberamente firmato. Per quanto riguarda i soggetti deceduti o non più rintracciabili, o vivi per i quali sia organizzativamente impossibile ottenere il loro consenso durante il periodo di raccolta dei dati a causa della natura dello studio (revisione retrospettiva della cartella clinica), il trattamento dei loro dati personali terrà conto delle prescrizioni contenute nell’allegato 5 del provvedimento del Garante del 5 giugno 2019 e sarà conforme all'articolo 110. Per tali pazienti (soggetti deceduti o non più rintracciabili o vivi senza la possibilità di ottenere il loro consenso durante il periodo di studio), i centri partecipanti saranno tenuti a documentare nella cartella clinica dei soggetti il motivo dell'impossibilità di ottenere il consenso e la descrizione dei tentativi effettuati per contattare i soggetti e quindi dell'impossibilità di contattarli”.

Anche in relazione a tale ultimo aspetto la Società ha conseguentemente modificato la documentazione predisposta per gli interessati e la valutazione d’impatto ex art. 35 del Regolamento.
La Società ha inoltre dichiarato che “Il modulo di informativa per il paziente e consenso informato è stato modificato per aggiungere una dichiarazione di consenso separata per il trattamento dei dati”.

Con riferimento all’ipotizzata realizzazione di “Studi futuri”, la Società ha rappresentato che “lo studio è pianificato per consentire il riutilizzo del set di dati pseudonimizzati per ricerche future cinque (5) anni dopo la firma del rapporto di Studio (periodo di conservazione definito per lo Studio secondo leggi, regolamenti e linee guida applicabili). Uno specifico consenso facoltativo è richiesto agli interessati nell'informativa al paziente per il riutilizzo dei propri dati personali pseudonimizzati per future ricerche. L'ambito della ricerca sarà circoscritto alla ricerca nella stessa area terapeutica e nella stessa malattia e pertanto lo scopo della ricerca futura sarà compatibile con quelli indicati nello studio originario, come consentito dall'articolo 5, comma 1, lettera b del Regolamento. Ciò è stato ulteriormente descritto nella versione modificata dell'informativa per il paziente fornita con questo pacchetto di risposta”. [...]. “Prima di riutilizzare i dati raccolti per questo Studio per nuove ricerche e analisi, il titolare del trattamento adotterà misure specifiche per garantire la compatibilità delle finalità del trattamento con la finalità iniziale, come richiesto dall'articolo 6, paragrafo 4 del Regolamento. La ricerca e l'analisi future saranno condotte solo nella stessa area terapeutica e sulla stessa malattia della presente ricerca, per contribuire a migliorare la gestione e le future opzioni terapeutiche per i pazienti con malattia da agglutinine fredde (CAD) e saranno rispettate adeguate garanzie come richiesto dall'articolo 89, paragrafo 1) del regolamento”.

Con riferimento alla valutazione di impatto, la Società ha confermato che essa “è stata condotta da Sanofi Aventis Groupe SA, promotore e titolare del trattamento dei dati, con il supporto di Cerner Enviza, la CRO globale incaricata dal promotore di condurre lo studio. Cerner Enviza è responsabile del trattamento dei dati”.

In merito agli adempimenti concernenti l’obbligo di fornire le informazioni anche a vantaggio dei soggetti risultati non contattabili, la Società ha dichiarato che “per ottemperare agli obblighi di cui all'art. 14, paragrafo 5 lett. b del Regolamento, si intende informare l'interessato dello svolgimento dello studio e dell'utilizzo dei propri dati mediante una informativa privacy che verrà affissa presso ogni centro partecipante allo studio, previa approvazione di ciascun Comitato Etico locale”.

La Società ha dichiarato, inoltre, che al termine del periodo di conservazione i dati non verranno anonimizzati bensì cancellati.

La Società ha infine descritto il flusso di dati previsto per la realizzazione dello Studio, precisando che “I dati personali raccolti ed elaborati per il presente Studio saranno trasferiti in formato pseudonimizzato dai centri partecipanti al responsabile del trattamento dei dati, Cerner Enviza, e dal responsabile del trattamento dei dati con sede nell'UE, Cerner Enviza, al titolare del trattamento, Sanofi Aventis Groupe SA, come descritto nell'Informativa ai pazienti e nella DPIA. Le Affiliate di Sanofi-Aventis Groupe e il loro personale situato al di fuori dell'Unione Europea possono avere accesso ai dati dello Studio, come ulteriormente descritto nell’informativa ai pazienti e nella DPIA. Tale accesso sarà limitato al personale delle Affiliate assegnato allo Studio e che ha bisogno di conoscere i dati dello Studio allo scopo di condurre la revisione dei dati dello Studio. Questo trasferimento di dati sarà coperto dalle Norme Vincolanti d'Impresa di Sanofi che possono essere consultate: Binding Corporate Rules (sanofi.com)”.

A seguito di successive interlocuzioni informali intercorse con la Società, quest’ultima, con nota del 25 maggio 2023, ha ulteriormente chiarito che:

“Poiché lo studio si basa su un tumore raro con una aspettativa di vita limitata […] è altamente probabile che vi siano pazienti già deceduti o che non sono più raggiungibili (lost to follow-up) come parte della popolazione” di pazienti arruolabili;

“I Centri predisporranno una lista precisa dei pazienti arruolabili e raggiungibili successivamente all'ottenimento del parere del Garante e hanno fin d'ora garantito che contatteranno tutti i pazienti arruolabili per informarli in merito al trattamento dei loro dati personali nell'ambito dello Studio e ottenere il loro consenso al trattamento”.

A tale riguardo, la Società ha altresì prodotto in atti le stime elaborate dai singoli Centri partecipanti in ordine al numero di possibili pazienti deceduti o dispersi al follow up, dalle quali emerge che questi rappresentano comunque una piccola parte del totale dei pazienti arruolati.

La Società ha inoltre confermato che i dati personali trattati nell’ambito dello Studio saranno pseudonimizzati e che al termine del periodo di conservazione di 5 anni i dati pseudonimizzati saranno distrutti. È stato inoltre chiarito che “Durante il periodo di conservazione si valuterà unitamente ai Centri partecipanti allo Studio se condurre uno o più ulteriori studi sui dati pseudonimizzati. In tal caso, i singoli Centri provvederanno a contattare i singoli pazienti per illustrare il nuovo studio, informarli sul trattamento dei dati e raccogliere il loro specifico consenso”.

Al riguardo, la Società ha precisato che la “la richiesta di consenso per future ricerche prevista nell’ambito dello Studio è stata formulata unicamente per avere la possibilità di contattare i pazienti, informarli del nuovo studio e raccogliere il loro consenso”.

2. La normativa applicabile

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali.

In base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” e “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali” (principi di «liceità, correttezza e trasparenza» e di «limitazione della finalità» (art. 5, par. 1, lett. a) e b) del Regolamento UE 679/2016, di seguito Regolamento).

Il principio di liceità, richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il consenso dell’interessato.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).
Con specifico riferimento alle particolari categorie di dati, tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere non solo esplicito ma anche manifestato per iscritto (art. 9, par. 2, lett. a) del Regolamento, par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche (doc. web n. 9069637).

In tale ambito, il Comitato europeo per la protezione dei dati personali in relazione alle sperimentazioni cliniche ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. Le disposizioni del capo V del regolamento sulla sperimentazione clinica relative al consenso informato, in particolare l'articolo 28, rispondono principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki. L'obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all'integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell'Unione europea; non è concepito per rispettare gli obblighi in materia di protezione dei dati. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b)), Adottato il 23 gennaio 2019).

In generale, il Regolamento non vieta forme di arruolamento o di monitoraggio a distanza dei pazienti. In tali casi spetta al titolare del trattamento, in base al principio di responsabilizzazione, individuare misure tecniche e organizzative idonee ad assicurare adeguata tutela ai diritti e alle libertà degli interessati e in particolare che il paziente sia stato preventivamente informato, la sua identità verificata, e il consenso (in caso di arruolamento da remoto) sia stato acquisito nei modi e nelle forme richieste.

Inoltre è in particolare importante che i titolari definiscano correttamente i ruoli di protezione dei dati personali di tutti i soggetti a vario titolo coinvolti nella ricerca, in particolare nella fase di raccolta e conservazione dei dati, avendo cura soprattutto di verificare la sussistenza di idonee condizioni di liceità per eventuali trasferimenti di dati verso paesi terzi e di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà fondamentali degli interessati (artt. 24, 27, 28, 32e 45 e ss. del Regolamento).

Senza inficiare gli obblighi relativi al consenso, il considerando 33 del Regolamento riconosce che “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista” (artt. 5, par. 1 lett. a) 6, 7 e 9 del Regolamento; Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 del 4 maggio 2020 del Comitato europeo per la protezione dei dati, cfr. punto 7.2 e provv. del 30 giugno 2022, doc. web 9791886).

In attuazione del principio di liceità, spetta al titolare, anche in omaggio al principio di responsabilizzazione di cui all’art. 5, par. 2 del Regolamento, individuare tra le diverse condizioni di liceità previste agli artt. 6 e 9, par. 2 del Regolamento quelle in concreto più appropriata, corrispondente all’obiettivo e all’essenza del trattamento e conseguentemente indicarla nella valutazione d’impatto e nell’informativa predisposta per gli interessati, tenuto anche conto delle differenti implicazioni che ciascuna di esse può avere sui diritti spettanti agli interessati (art. 15-22 del Regolamento).

In base al principio di limitazione della finalità, i dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (cfr. Gruppo articolo 29, Opinion 03/2013 on purpose limitation, del 2 aprile 2013; cons. 41 del Regolamento).

Con riferimento al trattamento ulteriore di dati rispetto a quelli necessari per lo scopo della raccolta, si evidenzia che esso deve fondarsi su uno specifico presupposto giuridico risultando compatibile con gli scopi della raccolta e che in base al principio di responsabilizzazione, tali profili devono essere individuati e opportunamente documentati dal titolare del trattamento nella valutazione di impatto e nell’ulteriore documentazione rilevante (artt. 5, par. 1 lett. a) e c), par. 2, 24 e 25 del Regolamento; Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati, del 23 gennaio 2019 del Comitato europeo per la protezione dei dati; A preliminary Opinion on data protection and scientific research” del 6 gennaio 2020, del Garante europeo; Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, del 2 febbraio 2021 del Comitato europeo per la protezione dei dati, provv. del Garante del 1° novembre 2021, doc. web 9731827).

In tale quadro, il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato altresì nel rispetto delle prescrizioni relative al trattamento dei dati genetici e dei dati personali effettuato per scopi di ricerca scientifica, allegato 4 e 5 al provvedimento recante le Prescrizioni e delle Regole deontologiche (doc. web n. 9069637) che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).
Nello specifico, rileva l’art. 110 del Codice che riguarda la ricerca medica, biomedica ed epidemiologica e dispone che “Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando […]a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”. In tal caso, le ragioni per le quali il titolare del trattamento è impossibilitato a informare gli interessati ovvero per le quali ciò implicherebbe uno sforzo sproporzionato devono essere rappresentate nell’istanza avanzata ai sensi dell’art. 110 del Codice.

I dati personali, inoltre, devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi.

In tale ultimo caso, il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui ciò risulti impossibile o implichi uno sforzo sproporzionato, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento).

Sul punto, le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, prevedono che, qualora il titolare raccolga i dati personali presso terzi e fornire l’informativa all’interessato comporti uno sforzo sproporzionato rispetto al diritto tutelato, esso debba adottare idonee forme di pubblicità, indicando a titolo esemplificativo talune specifiche modalità (art. 6, comma 3).

Altro profilo, di estremo rilievo in materia di protezione dei dati personali è l’individuazione dei ruoli di titolare (artt. 4, n. 7 e 24) e responsabile (art. 4, n. 8 e 28), rispetto ai quali il Regolamento si pone in linea di continuità con quanto già stabilito dalla Direttiva 95/46/CE. Da ciò, infatti, deriva non solo la distribuzione delle relative responsabilità ma anche la possibilità per gli interessati di conoscere il soggetto cui potersi rivolgere per esercitare i diritti di cui agli artt. da 15 a 22 del Regolamento.

Con particolare riferimento alla figura del responsabile del trattamento, il Regolamento prevede che quest’ultimo possa ricorrere “a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile”, introducendo la figura del sub-responsabile (art. 28, par. 4 del Regolamento e paragrafo 1.6 delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0, Adottate il 7 luglio 2021).

Per quanto riguarda la valutazione d’impatto, l’art. 35 del Regolamento dispone che spetta al titolare del trattamento svolgerla “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (cfr. Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679” – adottate dal Gruppo art. 29 il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017).

Il Regolamento individua altresì nel Capo V le condizioni giuridiche per i trasferimenti di dati personali verso paesi terzi affinché sia assicurato un livello di protezione adeguato dei dati oggetto di trasferimento (artt. 44 e ss; cfr. anche par. 3, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPRVersion 2.0, Adopted on 14 February 2023.). In particolare, è previsto che, in assenza di una decisione di adeguatezza ai sensi dell’art. 45 del Regolamento, i trasferimenti di dati personali verso Paesi terzi siano consentiti ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (artt. 46 e 47 del Regolamento).

Si osserva, infine, che la disciplina in esame non trova attuazione in riferimento a informazioni anonime e che si considerano tali le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento).

Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Si evidenzia infine che il Garante si è già pronunciato su specifiche istanze di consultazioni preventive, ai sensi degli art. 110 del Codice e 36 del Regolamento, con i seguenti provvedimenti: provv. del 29 ottobre 2020, n. 202, doc. web 9517401; provv. del 10 dicembre 2020 doc. web 9520597; provv. del 17 settembre 2020, doc. web 9479364; provv. del 17 settembre 2020, doc. web 9479382; provv. del 1° novembre 2021, doc. web 9731827; provv. del 30 giugno 2022, doc. web 9791886; provv. del 24 novembre 2022 doc. web. 9842737; provv. del 2 marzo 2023, doc. web 9875254.

3. Le valutazioni dell’Autorità

3.1. Le basi giuridiche del trattamento dei dati

La Società, in qualità di Promotore dello Studio e di titolare del trattamento, come previsto dall’art. 110 del Codice e 36 del Regolamento, ha presentato un’istanza di consultazione preventiva al Garante, fornendo il protocollo dello Studio e la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello stesso.

Dalla documentazione esaminata, come da ultimo integrata alla luce delle osservazioni formulate dall’Ufficio in sede istruttoria, il Garante, nel prendere favorevolmente atto dell’espunzione dalla documentazione rilevante dei riferimenti a condizioni di liceità inconferenti rispetto ai trattamenti in esame (quali il legittimo interesse del titolare o l’esecuzione di un compito di interesse pubblico, artt. 6, par. 1, lett. e) e f) 9, par. 2, lett. g) del Regolamento), ritiene che la Società abbia correttamente individuato le basi giuridiche del trattamento. Ciò in quanto la Società ha fatto riferimento al consenso per i pazienti contattabili e all’istanza di consultazione preventiva, ai sensi dell’art. 110 del Codice, in relazione ai pazienti deceduti ovvero non contattabili, specificando adeguatamente, come meglio descritto nel precedente paragrafo 1, i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso, secondo quanto previsto dal punto 5.3 delle Prescrizioni.
Sotto altro profilo, si prende atto che lo Studio ha ottenuto un preliminare parere favorevole dei competenti comitati etici a livello territoriale e che alla luce delle modifiche apportate allo Studio nel corso del procedimento, la correlata documentazione aggiornata sarà nuovamente sottoposta ai predetti Comitati etici una volta conclusosi il procedimento dinnanzi al Garante.

A tale riguardo, tenuto conto che i pareri dei Comitati etici costituiscono, laddove non sia possibile acquisire il consenso degli interessati, altresì condizione di liceità del trattamento, ai sensi dell’art. 110, comma 1, secondo periodo del Codice, resta fermo che i Centri di sperimentazione potranno dare inizio ai trattamenti dei dati personali necessari per la realizzazione dello Studio solo dopo l’ottenimento dei pareri favorevoli dei rispettivi comitati etici territorialmente competenti (cfr. provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

Sotto altro profilo, in base alle dichiarazioni rese, si rileva che anche i trasferimenti di dati personali alle società affiliate aventi sede fuori dal territorio dell’Unione Europea si fondano su idonei presupposti giuridici (artt. 24, 28 44 e ss. del Codice). A tale riguardo, è stato infatti precisato che tale trasferimento, che avrà ad oggetto solo dati pseudonimizzati, verrà effettuato sulla base delle “Binding Corporate Rules” della Società, consultabili sul sito internet www.sanofi.com., l’efficacia e correttezza delle quali devono comunque essere oggetto di verifica da parte del titolare del trattamento, in omaggio al principio di accountability (art. 5, par. 2 del Regolamento).

3.2. Realizzazione di studi futuri

La Società ha poi ipotizzato di raccogliere il consenso degli interessati per la realizzazione di ricerche future precisando al riguardo che “L'ambito della ricerca sarà circoscritto alla ricerca nella stessa area terapeutica e nella stessa malattia e pertanto lo scopo della ricerca futura sarà compatibile con quelli indicati nello studio originario, come consentito dall'articolo 5, comma 1, lettera b del Regolamento”.

Successivamente, la Società ha chiarito che “Durante il periodo di conservazione si valuterà unitamente ai Centri partecipanti allo Studio se condurre uno o più ulteriori studi sui dati pseudonimizzati. In tal caso, i singoli Centri provvederanno a contattare i singoli pazienti per illustrare il nuovo studio, informarli sul trattamento dei dati e raccogliere il loro specifico consenso”.

Fermo restando che il presente provvedimento riguarda esclusivamente lo Studio per lo svolgimento del quale la Società ha avanzato l’istanza di consultazione preventiva, alla luce delle disposizioni normative e dei pronunciamenti del Comitato europeo per la protezione dei dati, del Garante europeo e di questa Autorità sul consenso al trattamento dei dati personali, richiamati al precedente punto 2, il Garante non ha osservazioni da formulare con riguardo ai pazienti ancora in vita. Resta fermo che laddove il titolare si trovi in una delle condizioni di cui all’art. 110 del Codice e al punto 5.3 delle Prescrizioni, dovrà avanzare specifiche istanze di consultazione preventiva ai sensi del predetto art. 110 del Codice.

3.3 Le informazioni agli interessati

In sede istruttoria la Società ha provveduto, in buona parte, ad adeguare la modulistica predisposta per informare gli interessati in ordine ai trattamenti di dati personali svolti per la realizzazione dello Studio secondo le indicazioni fornite dall’Ufficio.

Il Garante, nel prendere favorevolmente atto delle migliorie apportate, rileva tuttavia che nel documento recante “Lettera informativa per i pazienti e Modulo per il consenso informato” è indicato come base giuridica del trattamento l’art. 6, par. 1 lett. a) del Regolamento. Considerato che il trattamento riguarda dati sulla salute per scopi di ricerca medica, la base giuridica deve essere indicata nell’art. 9, par. 2, lett. a) del Regolamento, in relazione ai soggetti contattabili e nell’art. 110 del Codice, oltre che nell’art. 9, par. 2, lett. j) del Regolamento, in relazione a quelli non contattabili.

Si ritiene, pertanto, necessario che il documento “Lettera informativa per i pazienti e Modulo per il consenso informato” sia modificato con la corretta indicazione delle basi giuridiche del trattamento relative ai pazienti contattabili, richiamando l’art. 9, par. 2, lett. a) del Regolamento, e a quelli non contattabili, integrando il riferimento all’art. 9, par. 2, lett. j del Regolamento con quello all’art. 110 del Codice.

Nel merito, anche alla luce delle dichiarazioni sopra ripotate, si rileva che il testo dell’informativa sul trattamento dei dati personali, laddove indica che “L’utilizzo dei suoi dati personali pseudonimizzati per tali ricerche future è opzionale e richiede un consenso specifico che le viene richiesto specificatamente nella dichiarazione al termine di questo documento”, non lascia in nessun modo comprendere che tale consenso è finalizzato “unicamente per avere la possibilità di contattare i pazienti, informarli del nuovo studio e raccogliere il loro consenso”.

Si ritiene pertanto necessario che l’informativa sul trattamento dei dati personali, predisposta ai sensi dell’art. 13 del Regolamento chiarisca, come rappresentato in sede istruttoria, che oltre al consenso al trattamento dei dati per lo Studio viene richiesta un’altra manifestazione di volontà volta unicamente ad avere la possibilità di contattare i pazienti per futuri scopi di ricerca.

Con riferimento ai pazienti non contattabili, anche a vantaggio dei loro aventi causa (art. 2-quaterdecies del Codice), la Società ha dichiarato in sede istruttoria di voler fornire l’informativa, ai sensi degli artt. 14. par. 5, lett. b) del Regolamento e 6, comma 3 delle Regole deontologiche, tramite “affissione” della medesima presso ogni centro partecipante, previa approvazione dello Studio da parte di ciascun Comitato etico.

Il Garante ritiene tale modalità non idonea a garantire l’effettiva applicazione al principio di trasparenza, né coerente con le indicazioni fornite dall’art. 6, comma 3 delle Regole deontologiche. Invero, in base alla soluzione prospettata, affinché gli interessati e, in particolare, nel caso in esame i loro aventi causa, possano conoscere l’informativa, è necessario che si rechino presso il centro partecipante, di fatto così diventando contattabili. L’art. 14, par. 5, lett. b) del Regolamento e l’art. 6, comma 3 delle Regole deontologiche intendono invece prevedere modalità tali per cui l’interessato e i loro aventi causa, pur non avendo un contatto diretto con il titolare e promotore dello Studio, possano conoscere in maniera agevole dei trattamenti dei propri dati. A titolo esemplificativo quindi le Regole deontologiche suggeriscono talune modalità che ben possono essere attualizzate prevedendo la pubblicazione della richiamata informativa sui siti internet del promotore e dei centri partecipanti.
Si ritiene pertanto necessario che l’informativa relativa al trattamento dei dati personali necessari per lo Studio, per i soggetti deceduti (a beneficio dei loro aventi causa, ex art. 2-quaterdecies del Codice) e non contattabili, sia pubblicata sui siti internet, dei centri partecipanti e dello stesso Sponsor in pagine facilmente accessibili, per tutta la durata dello Studio.

3.4. Misure ai sensi dell’art. 89 del Regolamento

Il Garante prende favorevolmente atto della modalità con la quale la Società, nello Studio presentato, abbia dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di un’adeguata misura di pseudonimizzazione nonché l’uso di uno specifico software per la registrazione degli stessi nelle eCFR (Electronic Case Report Form) “in modalità pseudonimizzata attribuendo ad ogni paziente un codice univoco (Patient ID) di 9 cifre (3 cifre per il codice del paese, 3 per il sito e 3 per il soggetto arruolato), la cui chiave di decodifica è posseduta dallo sperimentatore principale del Centro” .

La Società ha inoltre da ultimo chiarito che al termine del periodo di conservazione dei dati, indicato in 5 anni, i dati pseudonimizzati, “verranno cancellati”, modificando in tal senso la documentazione relativa allo Studio.

3.5. I ruoli di protezione dei dati personali dei soggetti coinvolti nello Studio.

Nella documentazione da ultimo trasmessa la Società ha preliminarmente fornito i chiarimenti richiesti in ordine ai ruoli di titolare e responsabile del trattamento dei soggetti coinvolti nella realizzazione dello Studio.

In particolare, la Società ha chiarito che il promotore e titolare del trattamento dello Studio è la Società con sede in Francia e non la società Sanofi US e i ruoli dei responsabili del trattamento, ai sensi dell’art. 28 del Regolamento, incaricati nello specifico della raccolta dei dati dai centri partecipanti e del loro trasferimento al promotore.

Dalla documentazione non appare tuttavia chiaro il ruolo attribuito alla società Cerner Enviza Italia Srl, se quale titolare ovvero responsabile del trattamento.

Ciò premesso, atteso che tale società risulta incaricata di condurre lo Studio per conto dello Sponsor, con particolare riferimento alle attività correlate al monitoraggio, si ritiene necessario che anche tale società Cerner Enviza Italia Srl sia designata quale responsabile del trattamento, ai sensi dell’art. 28 del Regolamento.

Ciò premesso, in termini generali, si ritiene comunque che la struttura organizzativa implementata per la realizzazione dello Studio sia tale da escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dai pazienti arruolati nel richiamato Studio e che essa sia conforme alle disposizioni del Regolamento oltre che ai principi di correttezza e trasparenza (art. 5, par. 1 lett. a), par. 2, 24, 28 del Regolamento).

3.6. Le misure di sicurezza implementate

La Società, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello Studio, come integrata nel corso del procedimento istruttorio, nella quale sono individuate in particolare le misure tecniche e organizzative sinteticamente descritte nel paragrafo 1, previste per la sicurezza dei dati trattati.

Deve rilevarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Dalla valutazione d’impatto e dal documento denominato “Data flow chart of personal data and their status from investigator to data controller for study OBS17666”, oltre a quanto evidenziato nel precedente paragrafo 1, emerge che la Società, al fine di garantire il rispetto del principio di integrità e riservatezza, ha adeguatamente valutato i rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, determinandone accuratamente l’origine, la natura e la gravità e ha conseguentemente predisposto specifiche misure, tecniche e organizzative appropriate e idonee per mitigarli e per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio (artt. 5, par. 2 lett. f), e 32 del Regolamento).

Tuttavia, ciò non può dirsi in relazione alle citate attività di “monitoraggio a distanza, che comprende l'esame della documentazione del paziente e la revisione della qualità dei dati estratti dalle cartelle cliniche” e che “sarà condotto almeno una volta presso ogni centro partecipante”. A tale riguardo, anche alla luce delle considerazioni espresse da AIFA e dalla Commissione Europea, dall’EMA e dall’HMA (Heads of Medicines Agencies), si rende necessario che la valutazione d’impatto sia integrata con una specifica sezione in cui siano indicati tali trattamenti ed i correlati rischi per i diritti e le liberta degli interessati al fine di individuare le necessarie misure per mitigarli, ciò in quanto la versione acquisita agli atti del procedimento risulta carente di tali analisi (cfr. AIFA press release 4 April 2020, “Management of clinical trials in Italy during the COVID-19 emergency” e “Guidance on the management of clinical trials during the covid-19 (coronavirus) pandemic Version 5 10/02/2022”)

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla società Sanofi-Aventis Group SA, con Sede legale in, 82 Avenue Raspail, 94250 Gentilly, France - parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti, deceduti e non contattabili, arruolati nello studio retrospettivo, osservazionale, "rischio tromboembolico e mortalità in pazienti affetti da malattia da agglutinine fredde (CAD) in paesi europei: un'analisi retrospettiva delle cartelle cliniche" (Thromboembolic Risk and Mortality of Patients with Cold Agglutinin Disease (CAD) in European Countries: A Retrospective Chart Review)”, a condizione che:

a) il documento “Lettera informativa per i pazienti e Modulo per il consenso informato” sia modificato con la corretta indicazione delle basi giuridiche del trattamento relative ai pazienti contattabili, richiamando l’art. 9, par. 2, lett. a) del Regolamento, e a quelli non contattabili, integrando il riferimento all’art. 9, par. 2, lett. j) del Regolamento, con quello all’art. 110 del Codice (punto 3.3);

b) il documento “Lettera informativa per i pazienti e Modulo per il consenso informato”, predisposto ai sensi dell’art. 13 del Regolamento chiarisca che, oltre al consenso al trattamento dei dati per lo Studio, viene richiesta un’altra manifestazione di volontà volta unicamente ad avere la possibilità di contattare i pazienti per futuri scopi di ricerca (puto 3.3);

c) il documento “Lettera informativa per i pazienti e Modulo per il consenso informato”, per i soggetti deceduti (a beneficio dei loro aventi causa, ex art. 2-quaterdecies del Codice) e non contattabili, sia pubblicato sui siti internet, dei centri partecipanti e dello stesso Sponsor, in pagine facilmente accessibili per tutta la durata dello Studio (punto 3.3);

d) la società Cerner Enviza Italia Srl sia designata quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento (punto 3.5);

e) la valutazione d’impatto sia integrata con una specifica sezione in cui siano indicati i trattamenti svolti nell’ambito delle attività di monitoraggio da remoto e i correlati rischi per i diritti e le libertà degli interessati al fine di individuare le necessarie misure per mitigarli (punto 3.6).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei