Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection TMT - Technology, Media & Telecommunications

Update | Modifica al Codice Privacy italiano: la ricerca scientifica diventa più semplice

La recente approvazione del decreto “PNNR bis”, in vigore dal 1° maggio 2024, ha apportato modifiche significative alla normativa italiana sulla privacy, in particolare per quanto concerne l’utilizzo di dati sanitari nella ricerca scientifica. Questa riforma ha modificato l’articolo 110 del Codice Privacy in merito alla ricerca medica, biomedica ed epidemiologica, con importanti conseguenze per la comunità scientifica, che da tempo auspicava un cambiamento in tale ambito.

Finora, nel caso in cui fosse impossibile e/o particolarmente difficoltoso raccogliere il consenso del paziente nell’ambito di un progetto di ricerca (situazione tipica di uno studio retrospettivo), era obbligatorio – oltre ad ottenere il motivato parere favorevole del comitato etico e redigere una valutazione di impatto (DPIA) ai sensi dell’art. 35 GDPR – anche avviare una consultazione preventiva con il Garante Privacy. Quest’ultimo adempimento costitutiva un significativo ostacolo per la ricerca scientifica, in quanto ne rallentava fortemente il processo di avvio dei progetti di ricerca e, per questo motivo, di fatto, era in larga parte disapplicato.

Il decreto “PNNR bis” ha modificato l’articolo 110 del Codice Privacy eliminando la necessità di una consultazione preventiva con il Garante Privacy. D’ora in poi, in particolare, nel caso in cui non si possa o sia estremamente complicato ottenere il consenso dell’interessato, i dati potranno essere trattati per fini di ricerca scientifica in ambito medico, biomedico ed epidemiologico a condizione che:

  1. ci sia un parere favorevole da parte del Comitato Etico competente;
  2. siano rispettate le garanzie previste dal Garante Privacy (in particolare, il rispetto delle garanzie indicate nelle regole deontologiche sul trattamento di dati).

Con il provvedimento del 9 maggio 2024, il Garante Privacy ha fornito i primi chiarimenti in merito alle garanzie da rispettare in tale ambito. Da un lato, infatti, ha individuato le prime garanzie da adottare per il trattamento dei dati personali in studi in cui non è possibile o è gravemente pregiudizievole e/o gravoso acquisire il consenso degli interessati; dall’altro, alla luce della riforma normativa e considerato il rilevante impatto delle nuove tecnologie nelle modalità di realizzazione dell’attività di ricerca, ha avviato una consultazione pubblica per aggiornare le regole deontologiche per i trattamenti di dati sulla salute per finalità di ricerca medica, biomedica e epidemiologica, precisando che, nelle more, trova comunque applicazione la disciplina di cui all’allegato A5 del Codice Privacy.

Quanto alle garanzie minime disposte in tale primo provvedimento, il Garante Privacy ha precisato che il titolare del trattamento dovrà motivare e documentare le ragioni etiche o organizzative in base alle quali non può acquisire il consenso dei pazienti, nonché effettuare e pubblicare la valutazione di impatto, dandone comunicazione al Garante Privacy.

Quanto ai motivi ritenuti validi a supportare una ricerca senza il consenso degli interessati, tale autorità ha precisato che i motivi etici sono quelli riconducibili alla circostanza che l’interessato ignora la propria condizione. Rientrano in questa categoria, in particolare, le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi.

I motivi di impossibilità organizzativa, invece, sono stati identificati in quelli riconducibili alla circostanza che la mancata raccolta dei dati riferiti al numero di interessati, che non è possibile contattare, rispetto al numero complessivo dei soggetti che si intende arruolare nella ricerca, produrrebbe conseguenze significative per lo studio in termini di qualità dei risultati della ricerca stessa; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti. I motivi di impossibilità organizzativa, concernono sia quelli derivanti dalla circostanza, da considerarsi del tutto residuale, che contattare gli interessati implicherebbe uno sforzo sproporzionato vista la particolare elevata numerosità del campione, sia quelli derivanti dalla circostanza, alternativa alla precedente, che all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto pubblicamente accessibili) essi risultino al momento dell’arruolamento nello studio, deceduti o non contattabili.

***

In conclusione, il decreto “PNNR bis” rappresenta sicuramente un significativo passo avanti per la ricerca scientifica in Italia, perché ne facilita il processo di avviamento sotto un profilo privacy, non essendo più necessaria la fase di consultazione preventiva con il Garante Privacy.

Resta in capo al titolare, in ogni caso, oltre alla necessità di ottenere il parere favorevole del Comitato Etico competente e predisporre una valutazione d’impatto – già previsti nella disciplina previgente -, l’obbligo di:

  • pubblicare la valutazione di impatto, dandone comunicazione al Garante Privacy;
  • in un’ottica di accountability, valutare la fondatezza delle proprie motivazioni, secondo le garanzie minime indicate dal Garante Privacy nel provvedimento del 9 maggio 2024, così come l’adeguatezza delle misure di sicurezza implementate a tutela dei dati oggetto della ricerca, al momento secondo le regole di cui all’allegato A5 del Codice Privacy, e, in prospettiva, in base alle regole deontologiche che il Garante approverà a seguito della consultazione pubblica, che, dovendo tener conto delle nuove tecnologie disponibili e del progresso tecnologico, si confida rappresenteranno un valido strumento a supporto del titolare in questo contesto, ma anche nell’ambito della ricerca in generale.
Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Privacy | Sistemi di riconoscimento facciale: sanzione da 20 milioni inflitta alla società americana Clearview
Privacy & Data Protection
Dati personali dei lavoratori: il WP29 aggiorna le regole del trattamento alla luce delle nuove tecnologie informatiche ...
Privacy & Data Protection
Ripartizione dei fondi sanitari: l’intervento del Garante Privacy

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.