General Data Protection Regulation

Trial clinici e privacy: il parere 3/2019 del Comitato europeo per la protezione dei dati e l'art. 110-bis del Codice della privacy italiano

11/02/2019 13:34


Avv. Riccardo Sciaudone, Avv. Eleonora Caravà e Dott.ssa Silvia Riga, Studio Delfino e Associati Willkie Farr & Gallagher LLP

1.Introduzione

Lo scorso 23 gennaio, il Comitato europeo per la protezione dei dati ("CEPD" o "Comitato") ha adottato, ai sensi dell'art. 70, par. 1, lett. b), del regolamento (UE) 2016/679, ben più noto come "General Data Protection Regulation" ("GDPR"), il parere n. 3/2019 ("Parere"), con cui ha fornito alcune linee guida per comprendere e "gestire" correttamente il fenomeno dell'interazione tra il GDPR e il regolamento (UE) 536/2014, del 16 aprile 2014, sulla sperimentazione clinica di medicinali per uso umano ("Regolamento sulla sperimentazione clinica").

Tra i vari temi trattati, emerge anche la questione relativa al "riutilizzo" dei dati personali trattati per finalità di ricerca scientifica, tema ben noto all'Italia che, dal 2017, ha introdotto una disposizione ad hoc nel D.lgs. 30 giugno 2003, n. 196 ("Codice della privacy") e di cui lo stesso Garante per la protezione dei dati personali ("Garante") si è occupato in prima linea.

2.I dubbi della DG SANTE (Commissione europea)

Il Parere – frutto dell'esercizio dei poteri consultivi che il GDPR ha rimesso al Comitato (ex art. 70 del GDPR) – origina da una richiesta della Direzione Generale SANTE (che si occupa, per l'appunto, di salute e sicurezza alimentare) della Commissione europea ("DG SANTE") che, nell'ottobre 2018, aveva manifestato l'esigenza di avere indicazioni chiare ai fini di una applicazione omogenea nel territorio dell'Unione della disciplina in materia di tutela dei dati personali nell'ambito delle sperimentazioni cliniche.

Il Regolamento sulla sperimentazione clinica, adottato nel 2014, ma entrato a pieno regime solo a far data dal 28 maggio 2016, si prefigge l'obiettivo di un approccio armonizzato alla regolamentazione delle sperimentazioni cliniche e la circolazione dei medicinali per uso umano all'interno del territorio dell'Unione europea. Tale regolamentazione, come ben noto, non riguarda solamente le norme tecniche e le disposizioni amministrative in tema di trial clinici, bensì coinvolge anche aspetti legati alla tutela dei dati personali (soprattutto relativi alla salute, alla vita sessuale e quelli relativi al patrimonio genetico) degli individui che partecipano o sono destinatari di un progetto di sperimentazione clinica.

In ragione di ciò, il legislatore Ue del 2014 ha dedicato alla protezione dei dati, oltre a molteplici richiami nei consideranda e nelle altre disposizioni del Regolamento sulla sperimentazione clinica, una norma ben specifica, vale a dire l'art. 93, che rinvia(va), inter alia, alla direttiva 95/46/CE, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ("Direttiva madre").
Ebbene, con l'entrata in vigore e piena applicazione del GDPR in tutti gli Stati membri dell'Ue (che, per giunta, fa riferimento ai trial clinici nei consideranda 156 e 161), la DG SANTE ha riscontrato un forte disallineamento della disciplina, non risultando più attuale il rinvio alla Direttiva madre fatto dall'art. 93 del Regolamento sulla sperimentazione clinica, e l'esigenza di chiarimenti in merito a: (i) l'individuazione della corretta e idonea base giuridica del trattamento, (ii) il consenso privacy del soggetto reclutato e le modalità di revoca, (iii) il modo di informare gli interessati (e, cioè, i soggetti reclutati) e (iv) il trasferimento dei dati e gli usi secondari degli stessi.

3.La risposta del Comitato: qual è la base giuridica del trattamento dei dati usati nei trial clinici?

Nel Parere, il Comitato parte da un assunto: nonostante il trattamento dati per finalità o usi "primari", effettuato nell'ambito di un protocollo di sperimentazione clinica (e, cioè, dall'inizio del trial con la raccolta dei dati fino al momento della loro cancellazione al termine del periodo di archiviazione), sia soggetto alla disciplina in tema di tutela dei dati personali, non tutte le operazioni di siffatto trattamento perseguono le medesime finalità privacy e, pertanto, possono essere "giustificate" dalla stessa base giuridica ai sensi del GDPR.

Il Comitato ha, pertanto, distinto, sotto il profilo della base giuridica, (a) le operazioni di trattamento poste in essere per finalità di tutela della salute (ivi incluse quelle relative alla sicurezza del medicinale sperimentato) (b) da quelle connesse ad attività di ricerca scientifica.

a)La base giuridica dei trattamenti per finalità di tutela della salute.

Per quanto riguarda le operazioni di trattamento connesse a finalità di tutela della salute, sicurezza e affidabilità del risultato della sperisperimentazione (specialmente per i prodotti medicinali), il Comitato ha operato un'ulteriore distinzione a seconda della categoria dei dati personali tratti.

Laddove i dati trattati siano dati cd. "comuni" (es., nome, cognome, età), la base giuridica del trattamento è quella prevista dall'art. 6, par. 1, lett. c), del GDPR ("il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento"). Se, al contrario, i dati trattati appartengono a categorie "particolari", come nel caso di dati sanitari o genetici, la base giuridica è quella contemplata dall'art. 9, par 2, lett. i), del GDPR ("il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale").

In disparte tale distinzione, il CEPD, richiamando gli orientamenti del Gruppo di lavoro articolo 29 (cfr. parere n. 6/2014), ha ribadito le condizioni al verificarsi delle quali è possibile applicare a siffatti trattamenti la base giuridica di cui all'art. 6, par. 1, lett. c), del GDPR (obbligo imposto dalla legge, anche nazionale; la legge deve essere valida, sufficientemente chiara e in grado di vincolare il titolare del trattamento; la legge deve essere conforme e rispettosa della disciplina in materia di protezione dei dati personali; il titolare non dovrebbe avere un grado di sufficiente discrezionalità in merito all'applicazione dell'obbligo legale).

Più nel dettaglio, il Comitato ha ritenuto che tale base giuridica si applichi nei casi di adempimento degli obblighi di legge stabiliti dagli artt. 41-43 del Regolamento sulla sperimentazione clinica (e cioè gli obblighi di comunicazione di eventi avversi o reazioni sospette, gravanti sullo sperimentatore, nei confronti del promotore e delle competenti autorità nazionali), nonché dagli artt. 58 (in tema di archiviazione del fascicolo permanente della sperimentazione clinica) e 77-79 (concernenti gli obblighi di comunicazione dei dati delle sperimentazioni nei confronti delle autorità pubbliche in caso di ispezione).

b) La base giuridica dei trattamenti per finalità di ricerca
Con riferimento ai trattamenti che sono effettuati per finalità di ricerca scientifica, il Comitato ha precisato che, non potendosi rinvenire la base giuridica nell'adempimento di un obbligo di legge, questa può essere ricondotta: (i) all'ottenimento del consenso esplicito dell'interessato (artt. 6, par. 1, lett. a), e 9, par. 2, lett. a) del GDPR); (ii) all'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, par. 1, lett. e), del GDPR); (iii) al perseguimento del legittimo interesse del titolare del trattamento o di terzi (artt.6, par. 1, lett. f), e 9, par. 2, lett. i) e j) del GDPR).

Tra queste, il Comitato ha prestato particolare attenzione al consenso del soggetto reclutato, ricordando che il consenso cd. "informato" (inteso quale consenso al trattamento medico-sanitario) non va confuso con la nozione di consenso privacy, e cioè la base giuridica del trattamento dei dati.

In ossequio ai principi del GDPR, il Comitato ha ribadito che il soggetto reclutato deve essere messo sempre nella posizione di poter revocare liberamente il proprio consenso privacy, senza che ciò pregiudichi le attività già svolte dallo sperimentatore prima della revoca.
4.I trattamenti dati al di fuori di quanto previsto nel protocollo della sperimentazione: gli "usi secondari" e il riutilizzo.

E' uso comune, nei trial clinici, che i dati trattati per "uso primario" possano poi esser utilizzati al di fuori di detta sperimentazione. Lo prevede anche l'art. 28, par. 2, del Regolamento sulla sperimentazione clinica che, introducendo il cd. "uso secondario" dei dati della sperimentazione dispone: "Fatta salva la direttiva 95/46/CE, il promotore può chiedere al soggetto (…) di acconsentire all'uso dei suoi dati al di fuori di quanto previsto nel protocollo della sperimentazione clinica esclusivamente per fini scientifici. Il soggetto o il suo rappresentante legalmente designato può revocare tale consenso in qualunque momento".

Concia di simile prassi, la DG Sante ha chiesto al Comitato se, alla luce del GDPR, un promotore o uno sperimentatore che volesse usare i dati raccolti nel "primo" progetto di sperimentazione per finalità ulteriori, cioè per scopi diversi da quelli contenuti nel protocollo inziale di trial clinico, sia a ciò legittimato senza dover "ottenere"/individuare una nuova base giuridica (cioè, consenso del soggetto reclutato, individuare un obbligo di legge specifico, etc.), magari diversa da quella che "reggeva" il protocollo iniziale.

Al riguardo, il Comitato ha rilevato che, laddove si dovesse procedere con l'acquisizione di un ulteriore consenso o con l'individuazione di una diversa base giuridica, si minerebbe l'applicazione della cd. "presunzione di compatibilità" prevista ex art. 5, par. 1, lett. b), del GDPR, secondo cui è lecito il trattamento effettuato per finalità diverse, ma non incompatibili, con quelle perseguite in sede di trattamento originario.

Per giunta, è lo stesso GDPR a prevedere, all'art. 89, che, nel caso di trattamenti effettuati per finalità di ricerca scientifica, sono applicabili deroghe ad hoc, ivi incluse quelle afferenti i trattamenti "secondari". In altri termini, il trattamento dei dati effettuato per finalità diverse da quelle per le quali i dati sono stati inizialmente raccolti va consentito solo se compatibile con le finalità per le quali i dati sono stati inizialmente raccolti, non essendo necessaria alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati (cfr. considerando 50 GDPR).

5.Conclusioni: l'art. 110-bis del Codice della privacy

La questione del cd. "riutilizzo" dei dati raccolti in un precedente trial clinico è stata oggetto di numerosi dibattiti anche all'interno dell'ordinamento nazionale.
Dopo l'introduzione nel Codice della privacy dell'art. 110-bis, ad opera della L. 167/2017, che consentiva al Garante di poter autorizzare il riutilizzo dei dati, anche sensibili (escluso i dati genetici), le difficoltà applicative della stessa non hanno tardato a rivelarsi (per un approfondimento sul tema, si v. S. MELCHIONNA, Commento all'art. 110-bis, in R. SCIAUDONE, E. CARAVÀ, Il Codice della privacy. Commento al D.lgs. 30 giugno 2003, n. 196 e al D.lgs. 10 agosto 2018, n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pacini Giuridica, 2019, pp. 461 e ss).

Tuttavia, a seguito del parere 312/2018 del Garante (doc. web n. 9163359) e con il D.lgs. 101/2018, il legislatore delegato ha provveduto ad un affinamento del testo normativo, adeguando al GDPR le disposizioni dell'art. 110-bis.

È innanzitutto mutato l'ambito soggettivo di applicazione della norma, che si applica anche a soggetti terzi, diversi dal titolare del trattamento, che hanno, come core business, quello di svolgere attività – inter alia – di ricerca scientifica (pur essendo rimessa al Garante la definizione di attività principale del terzo che vuole riutilizzare i dati).

Rileva anche il concetto di "finalità ulteriore", che sempre si collega alla presunzione ex art. 5, par. 1, lett. b), del GDPR: se il trattamento dei dati è effettuato dal medesimo soggetto che ha svolto la prima sperimentazione, si applicherà l'art. 5, par. 1, lett. b), del GDPR, mentre detta norma non trova luogo nel caso di riutilizzo dei dati da parte di un soggetto terzo, diverso dal titolare originario.

Rimanendo ancora aperta la consultazione pubblica sull'Autorizzazione generale 9/2016, relativa al trattamento dei dati personali effettuato per scopi di ricerca scientifica (doc. web n. 9068972), che il Garante ha lanciato alla fine del dicembre 2018, si auspica che, tra i vari scenari applicativi, anche il Parere del Comitato possa avere un'incidenza rilevante sulle modifiche da apportare al provvedimento generale.