Informazioni Privacy Sperimentazioni Cliniche
Il trattamento dei dati personali è di fondamentale importanza nell’ambito delle Sperimentazioni Cliniche, in quanto queste ultime prevedono il coinvolgimento di soggetti persone fisiche i cui dati, anche di natura particolare, sono oggetto di attività trattamentali necessarie per il perseguimento degli obbiettivi di ricerca.
La disciplina inerente alle Sperimentazioni Cliniche è attualmente contenuta nel REGOLAMENTO (UE) N. 536/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 16 aprile 2014 sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE e prevede che le ricerche cliniche debbano essere condotte in conformità alla normativa applicabile in materia di protezione dei dati personali.
La principale normativa in tema di trattamento di dati personali è contenuta nel REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati – “GDPR”), che, a sua volta, rimanda all’applicazione del Regolamento n. 536/2014.
In Italia, la normativa in tema di trattamento di dati personali è contenuta nel DECRETO LEGISLATIVO 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (“Codice Privacy”) e successive integrazioni.
Gli IFO, in qualità di Titolare del trattamento dei dati, anche di natura particolare (art. 9, paragrafo 2 GDPR), dei partecipanti arruolati, effettuano attività trattamentali in conformità all’art. 6, par. 1, lett. a), c), all’art. 9, par. 2, lett. a), j) GDPR, concernente il trattamento necessario a fini di ricerca scientifica, nonché all’art. 110 e 110 bis, comma 4, Codice Privacy in tema di riutilizzo dei dati sanitari raccolti precedentemente per finalità di cura.
Le seguenti informative inerenti al trattamento dei dati e il relativo consenso sono somministrati a tutti i partecipanti per il solo svolgimento delle Sperimentazioni Cliniche (“Studi Prospettici” e “Studi Retrospettivi”).
STUDI PROSPETTICI
STUDI RETROSPETTIVI
VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI-DPIA
Gli IFO, in qualità di Titolare del trattamento dei dati (art. 7 GDPR), sono tenuti ad adempiere agli obblighi stabiliti dal GDPR, specialmente in materia di accountability, di privacy by design e privacy by default, di minimizzazione anche attraverso la tecnica di pseudonimizzazione dei dati, nonché di adozione di misure tecniche e organizzative adeguate a garantire un livello altrettanto adeguato al rischio derivante dal trattamento per i diritti e le libertà delle persone fisiche.
In particolare, l’art. 35 GDPR (“Valutazione d’impatto sulla protezione dei dati” o “Data Protection Impact Assessment” c.d. DPIA), stabilisce che: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” e che: “Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
A tal fine, il Garante per la protezione dei dati personali – GPDP, con Provvedimento n. 467 dell’11 ottobre 2018, ha elencato in modo analitico le varie tipologie di trattamento da sottoporre obbligatoriamente a valutazione d’impatto (https://www.garanteprivacy.it/documents/10160/0/ALLEGATO+1+Elenco+delle+tipologie+di+trattamenti+soggetti+al+meccanismo+di+coerenza+da+sottoporre+a+valutazione+di+impatto)
La DPIA consiste in un processo continuo che si finalizza con un documento di valutazione, sottoscritto dal Titolare del trattamento, attraverso cui viene analizzato in via preliminare l’impatto che possono avere sui diritti e le libertà degli interessati i nuovi trattamenti, oppure modifiche sostanziali a un trattamento già in essere, allo scopo di apportare misure idonee ad affrontarne i rischi. Pertanto, deve contenere almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
La DPIA si configura, dunque, come uno strumento di risk management fondamentale in termini di responsabilizzazione, in quanto soccorre e sostiene il Titolare del trattamento nel garantire ed attestare il rispetto delle prescrizioni del GDPR, nonché nel dimostrare di aver adottato misure di sicurezza, anche di natura informatica, idonee a mitigare il rischio di pregiudizi per i diritti e per le libertà fondamentali delle persone fisiche durante tutte le fasi del trattamento.
La valutazione in merito alla gravità del rischio rispetto al contesto segue i seguenti livelli:
– Livello 1 trascurabile
– Livello 2 limitato
– Livello 3 significativo
– Livello 4 massimo
Essendo, gli IFO, un Ente di ricerca impegnato anche nel coinvolgimento e nella promozione di Sperimentazioni Cliniche nell’ambito delle quali è previsto il trattamento di dati personali dei soggetti arruolati, sono tenuti ad effettuare una Valutazione d’Impatto nei casi previsti dalla legge applicabile.
La predisposizione della DPIA coinvolge diverse figure professionali all’interno degli IFO e si articola nella compilazione di due distinte CHECKLIST, di seguito elencate, utili per l’elaborazione da parte del Titolare del trattamento a mezzo del Responsabile della Protezione dei dati o “Data Protection Officer” (DPO) del documento di valutazione finale (Circolare in Tema di Ricerca Scientifica e Regolamento Europeo 2016/679):
1) checklist concernente il contesto del trattamento, ex art. 35 GDPR;
2) checklist relativa alle misure di sicurezza adottate dal Titolare del trattamento, ex art. 32 GDPR.
Di seguito le DPIA e le informative Trattamento Dati relative alle Sperimentazioni Cliniche/Studi:
Studio DECIPHER | DPIA | Informativa Trattamento Dati |
Studio D34HEALTH | DPIA | Informativa Trattamento Dati |
Studio FAILURE | DPIA | Informativa Trattamento Dati |
Studio COMPARISON | DPIA | Informativa Trattamento Dati |