Le nuove FAQ del Garante privacy sul trattamento da parte degli IRCCS dei dati personali per scopi di ricerca
Il 6 giugno 2024 il Garante della privacy ha pubblicato una pagina di FAQ riguardanti i presupposti giuridici e gli adempimenti da adottare per il trattamento da parte degli IRCCS di dati personali già raccolti a fini di cura della salute, per ulteriori scopi di ricerca. Di seguito, una disanima delle novità introdotte
Il 6 giugno 2024 il Garante della privacy ha pubblicato una pagina di FAQ a chiarimento dei nuovi presupposti giuridici e degli adempimenti per il trattamento da parte degli IRCCS di dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca. Gli IRCCS, istituti di ricovero e cura a carattere scientifico, sono definiti dall'art. 1 del d.lgs. 288/2023 come enti del Servizio Sanitario Nazionale a rilevanza nazionale dotati di autonomia e personalità giuridica che, secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità o svolgono altre attività aventi i caratteri di eccellenza.
Con le nuove indicazioni, il Garante prende atto delle modifiche apportate all’art. 110 del c.d. Codice privacy (d.lgs. 196/2023) dalla legge 56/2024, che il 29 aprile ha convertito il d.l. 19/2024, incaricando il Garante di individuare le garanzie da osservare nel trattamento per finalità di ricerca medica, biomedica ed epidemiologica. Con la seconda FAQ il Garante indica le basi giuridiche che gli IRCCS possono utilizzare per trattare dati personali già precedentemente raccolti per finalità di cura, anche per ulteriori scopi di ricerca. Gli istituti, in qualità di titolari, dovranno attenersi a quanto già previsto dal GDPR in merito al dovere di individuare una base idonea a legittimare in concreto il trattamento per la realizzazione di progetti di ricerca scientifica e il rispetto alle linee di ricerca autorizzate dal Ministero della Salute, nonché all’individuazione della deroga appropriata al divieto generale di trattare particolari categorie di dati.
Gli istituti potranno poi fondare i trattamenti sul consenso degli interessati previsto dagli artt. 6, par. 1, lett. a) e 9, par. 2, lett. a) del Regolamento UE 2016/676, dedicati rispettivamente alla liceità del trattamento e alle categorie particolari di dati personali. Tale consenso dovrà essere preventivo, specifico, e dunque riferito al singolo progetto di ricerca, e redatto conformemente alle norme di settore. Dovrà inoltre essere libero, informato, espresso, inequivocabile, reso o documentato per iscritto e sempre revocabile. In alternativa, gli IRCCS potranno fondare il trattamento di dati già raccolti per scopi di cura, anche per la finalità di ricerca in campo medico, biomedico ed epidemiologico, sulla base dell'art.110-bis, comma 4 Codice privacy, il quale prevede come non costituisca trattamento ulteriore da parte di terzi, il trattamento dei dati personali raccolti per l’attività clinica, a fini di ricerca, da parte degli IRCCS, pubblici e privati, in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell'osservanza di quanto previsto dall'articolo 89 del Regolamento, riguardante le garanzie e le deroghe previste in caso di trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Tale previsione, come osservato nel lavoro del Garante, si inserisce nella potestà legislativa rimessa agli Stati membri dall'art. 9, par. 2, lett. j) del GDPR, richiamato anche dall’art. 110 del Codice.
Potranno dunque essere impiegati ai fini della ricerca i dati già raccolti per il diverso scopo di diagnosi e cura senza che si renda necessario ottenere un nuovo consenso specifico in tal senso. Tuttavia, viene precisato nella FAQ 3 che dovrà essere svolta dagli enti una valutazione di impatto (cosiddetti VIP o DPIA), come previsto dall'art. 110 Codice. La valutazione dovrà essere pubblicata sui siti web degli istituti, anche per estratto, se la pubblicazione integrale dovesse ledere diritti di proprietà intellettuale, segreti commerciali o altri interessi. Il mancato adempimento, come segnalato dalla FAQ n. 5, comporterà l’applicazione di una sanzione amministrativa.
Procedendo nell’analisi delle nuove indicazioni, alla FAQ 6 viene indicato che l’obbligo di consultazione preventiva del Garante disciplinato dall'art. 36 GDPR è previsto solo qualora dalla valutazione d’impatto emerga che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare finalizzate ad attenuare il rischio.
Le modalità di adempimento agli obblighi informativi variano a seconda che i dati siano raccolti direttamente presso gli interessati, presso banche dati o terzi. Nel primo caso, l’IRCCS sarà tenuto a fornire all’interessato preventivamente, direttamente, in forma chiara, concisa e intellegibile le informazioni in merito alla diversa finalità di ricerca, così come previsto dall'art. 13 par. 3 Regolamento, in base al quale, qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima, dovrà fornire all'interessato informazioni in merito alla diversa finalità assieme a ogni ulteriore informazione pertinente. Ciò, conformemente al successivo paragrafo 4 dell’art. 13, con limitazione agli elementi di cui l’interessato già non disponga.
Nelle diverse ipotesi in cui siano raccolte presso banche dati interne dell’istituto ovvero presso terzi, le informazioni potranno essere rese in conformità a quanto previsto dall’art. 14, par. 5, lett. b) GDPR e dunque, qualora informare gli interessati risulti impossibile o implicherebbe uno sforzo sproporzionato al punto da rischiare di rendere impossibile o pregiudicare il conseguimento delle finalità del trattamento. In tali casi, il titolare del trattamento potrà adottare misure diverse appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni da fornire.
Va infine osservato, come l'art. 110-bis, comma 4 del Codice, non indichi le tipologie di ricerche mediche cui si applica, ma delimiti unicamente l’ambito di applicazione alle ricerche promosse dagli istituti di ricovero e cura a carattere scientifico. Il Garante chiarisce pertanto che la disposizione trova applicazione in relazione a ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da tali istituti, includendo anche gli studi multicentrici, anche in caso siano condotti con la partecipazione di enti non accreditati quali IRCCS.
In conclusione, i chiarimenti forniti dal Garante in merito alla possibilità del trattamento dei dati già raccolti dagli IRCCS per diagnosi e cura, anche per finalità di ricerca, agevoleranno lo sviluppo di tale attività, in conformità anche alla previsione dell'art. 1, lett. a) della legge delega n. 129/2022, dedicata al riordino della disciplina degli istituti di ricovero e cura a carattere scientifico, che, tra gli altri obiettivi prevede di potenziare il ruolo degli stessi, quali istituti di ricerca e cura a rilevanza nazionale, al fine di promuovere in via prioritaria l'eccellenza in materia di ricerca preclinica, clinica, traslazionale, clinico-organizzativa nonché l'innovazione e il trasferimento tecnologico, a integrazione dei compiti di cura e di assistenza svolti. In tale quadro normativo si ampliano le possibilità di ricerca degli istituti, con la possibilità di nuove scoperte e di sviluppare nuove tecnologie, garantendo al contempo la tutela dei diritti degli interessati.
Avv. Luca Steffano, Studio Legale THMR
18/7/2024