Sollecito riscontro del Garante sulle garanzie da adottare a seguito della riforma dell’art. 110 Codice privacy
La L. 56/2024 ha riformato l'art. 110 del Codice Privacy, eliminando l'obbligo di consultazione preventiva del Garante per gli studi clinici retrospettivi. Questo cambiamento, accolto favorevolmente dagli stakeholder, semplifica l'iter autorizzativo per studi basati su dati esistenti e pseudonimizzati e chiede al Garante di "giocare" un ruolo chiave nel definire le misure di protezione da adottare.
A cura di Avv. Alessia Lipari e Dott.ssa Benedetta Crespi
Con la Legge 29 aprile 2024 n. 56, di conversione del c.d. D.L. PNRR, l’art. 110 del Codice Privacy è stato ampiamente riformato, comportando notevoli conseguenze nel campo della ricerca medica.
In particolare, la riforma ha eliminato l’obbligo di consultazione preventiva del Garante per la protezione dei dati personali, prevista nella precedente formulazione della norma, per gli studi clinici c.d. retrospettivi.
Gli stakeholder hanno accolto con particolare favore questa modifica, poiché avevano più volte evidenziato l’eccessiva onerosità di tale iter autorizzativo per studi, come quelli retrospettivi, basati su dati già esistenti e pacificamente pseudonimizzati.
Il nuovo regime prevede che i dati personali relativi alla salute di pazienti, ad esempio deceduti o per altri motivi non contattabili, potranno essere trattati per fini di ricerca scientifica a condizione che vi sia il parere favorevole del competente Comitato Etico a livello territoriale e che siano osservate le garanzie dettate dal Garante ai sensi dell’articolo 106, comma 2, lettera d) del Codice Privacy.
Per quanto concerne le garanzie ex art. 106 del Codice Privacy, con provvedimento n. 298 del 9 maggio u.s., il Garante ha fornito delle prime indicazioni. Innanzitutto, è stato chiarito che tra i soggetti “non contattabili” rientrano coloro che non sono individuabili per motivi etici, nonché soggetti la cui rivelazione di notizie in merito allo studio possa arrecare un danno materiale o psicologico, e i soggetti “non contattabili” per motivi di impossibilità organizzativa, ossia la cui raccolta del consenso rischi di pregiudicare gravemente il conseguimento delle finalità della ricerca.
Con il medesimo provvedimento, il Garante ha promosso l’adozione di nuove regole deontologiche, invitando tutti gli aventi titolo a sottoscrivere le Regole deontologiche in quanto portatori di un interesse qualificato nella redazione delle stesse (ad es. associazioni di pazienti), a fornire documentazione comprovante la propria rappresentatività all’Autorità o, in alternativa, all’Istituto Superiore di Sanità, entro 60 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale, al fine di essere resi parti attive del tavolo di lavoro finalizzato alla definizione delle suddette Regole.
In attesa della formale adozione delle prime indicazioni del Garante Privacy, è utile ricordare che permane in capo al singolo Titolare del trattamento l’onere di dimostrare l’esito negativo di ogni ragionevole sforzo compiuto per contattare i soggetti interessati (i.e., documentare le ragioni in base alle quali non è stato possibile acquisire il consenso dei pazienti), nonché l’onere di effettuare e pubblicare – coerentemente con quanto già previsto dall’originario testo dell’art. 110 – la valutazione d’impatto (DPIA).
In conclusione, è possibile affermare che il Legislatore ha dato piena espressione al principio di “accountability”, assegnando a ciascun Titolare la possibilità e l’onere di valutare i rischi correlati al singolo caso di specie al fine di definire le misure di sicurezza più idonee a tutelare gli Interessati.