[doc. web n. 10009033]

Provvedimento del 7 marzo 2024

Registro dei provvedimenti
n. 157 del 7 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110, comma 1, secondo periodo del Codice relativo alla ricerca medica, biomedica e epidemiologica;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

ESAMINATA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla Fondazione GIMEMA Franco Mandelli Onlus (di seguito Fondazione o Sponsor) per la relizzazione dello Studio “Incidenza di infezione da COVID-19 severa in pazienti con Leucemia Linfatica Cronica o Linfoma non Hodgkin Indolente a cellule B che hanno ricevuto profilassi con Tixagevimab and Cilgavimab in Italia: studio osservazionale condotto dal Working party GIMEMA sulle malattie linfoproliferative croniche e dalla Fondazione Italiana Linfomi” (nota del 31 luglio 2023);

TENUTO CONTO che l’Ufficio del Garante ha avviato un approfondimento istruttorio in relazione all’istanza pervenuta (note del 10 ottobre 2023, prot. n. 137232, del 2 novembre 2023, prot. n.148616 e del 4 dicembre 2023, prot. n.161052);

RILEVATO che dalla documentazione in atti, così come acquisita, modificata e integrata in sede istruttoria, anche alla luce dei rilievi formulati dall’Ufficio emerge che:

- trattasi di uno “studio, multicentrico osservazionale retrospettivo e prospettico, volto a descrivere il ruolo della profilassi COVID-19 con Tixagevimab e Cilgavimab nei pazienti affetti da CLL o B-NHL indolenti” e che “saranno inclusi i pazienti che hanno ricevuto la prima dose di profilassi COVID-19 con Tixagevimab e Cilgavimab secondo indicazione AIFA tra marzo 2022 e ottobre 2022. Ogni paziente sarà seguito per un massimo di 12 mesi dalla prima dose di profilassi COVID-19”;

- la base giuridica del trattamento in riferimento ai pazienti contattabili è stata individuata nel consenso degli interessati reso ai sensi dell’art. 9, par. 2, lett. a) del Regolamento, “previa informativa resa al paziente ai sensi dell’art. 13 RGPD” e che “in sede di raccolta del consenso del paziente al trattamento dei propri dati personali per le finalità proprie dello Studio, il paziente potrà esprimere un ulteriore autonomo consenso (facoltativo, il cui diniego non preclude in alcun modo la partecipazione allo studio) ad essere ricontattato per future attività di ricerca nell’ambito delle Sindromi Linfoproliferative Croniche. La ratio dell’acquisizione di tale ulteriore consenso deve essere ravvisata nel dare al paziente la possibilità di venire a conoscenza dei protocolli di ricerca relativi alla propria patologia che dovessero essere elaborati dalla Fondazione e sottoposti all’approvazione del competente CE alla luce dei risultati dello studio, così da prestarvi un consenso specifico ed attuale, ove d’interesse”;

- con riferimento ai pazienti non contattabili è stato evidenziato che “nell’ambito di una survey condotta dalla [...] Fondazione, è stato stimato che una percentuale compresa tra il 15% ed il 20% dei pazienti arruolabili (su un campione minimo stimato di 954), considerati i dati epidemiologici delle patologie oggetto di studio, sia formata da persone decedute o non ricontattabili e che pertanto non sarà possibile acquisirne il consenso al trattamento dei dati personali ai fini della partecipazione allo studio, fermo restando che ai pazienti non contattabili e ai deceduti a beneficio degli aventi causa verrà fornita l’informativa ex art. 14 RGPD mediante pubblicazione sul sito web della Fondazione, nonché sui siti di tutti i centri partecipanti in una pagina facilmente accessibile. Il numero minimo di pazienti da ricontattare, comunque elevato rispetto all’incidenza delle patologie oggetto di studio, richiederebbe uno sforzo troppo oneroso, data la scarsità di risorse economiche e di personale disponibili tra il promotore ed i centri locali considerata anche la natura no-profit dello studio”;

- la “Fondazione, quale Promotore dello studio, ritiene imprescindibile l’inserimento nel campione (anche) dei pazienti deceduti o persi al follow up; considerando che l’eliminazione dei pazienti deceduti o non ricontattabili potrebbe avere un impatto negativo sulla validità dei risultati dello studio e sulla capacità di generalizzare i risultati a tutta la popolazione”. A tale riguardo, la Fondazione ha precisato che “Ad esempio, i pazienti deceduti o non ricontattabili potrebbero avere caratteristiche diverse rispetto ai pazienti vivi o potrebbero avere una malattia più grave o complicazioni aggiuntive. Inoltre, l’eliminazione dei pazienti deceduti potrebbe portare ad una sovrastima degli esiti positivi dello studio. In particolare, in questo studio che ha come obiettivo la valutazione dell’efficacia del trattamento in termini di riduzione delle ospedalizzazioni e dei decessi relati al COVID-19, l'esclusione dei pazienti deceduti comporterebbe una sovrastima dell'efficacia del trattamento” e che “si verrebbe a generare un selection bias, ovvero il campione su cui si farebbe l’analisi rappresenterebbe una sottopopolazione della popolazione di interesse; infatti, l’inclusione dei soggetti (nel caso di specie, solo quelli che possono firmare il consenso) sarebbe dipendente da una determinata caratteristica (essere rintracciabili)”;

- “Il medico curante effettuerà non meno di 3 tentativi telefonici per ricontattare il paziente. I 3 tentativi “andati a vuoto” dovranno essere documentati, nel database dello studio, attraverso una “certificazione” del medico stesso. Solo dopo aver compilato obbligatoriamente detta dichiarazione il medico potrà procedere con l’inserimento dei dati del paziente non ricontattabile”;

- la morte del paziente verrà accertata “tramite consultazione delle cartelle cliniche dei pazienti da parte del personale autorizzato del Centro clinico”;

- “La Fondazione, in più, pubblicherà sul proprio sito web https://www.gimema.it/ una pagina dedicata a questo progetto, con la quale inviterà i pazienti, candidati ad entrare nel presente studio, a contattare il Centro partecipante che li ha in cura”;

- “La Fondazione chiederà alle Amministrazioni dei Centri partecipanti di pubblicare sui rispettivi siti web una comunicazione con la quale informare i pazienti dello svolgimento dello studio e della possibilità di entrarvi”;

- “lo Studio verrà condotto nel pieno rispetto della normativa applicabile in materia di studi osservazionali e previo motivato parere favorevole del competente Comitato etico”;

- in relazione alle misure tecnico organizzative implementate per la realizzazione dello Studio, i “dati relativi alle sperimentazioni cliniche di cui è promotore la Fondazione GIMEMA sono raccolti tramite il sistema REDCap, un sistema open source sviluppato dal Consorzio REDCap, guidato dall’Università di Vanderbilt negli Stati Uniti, a cui aderiscono oltre 5000 Istituzioni (Università o centri di ricerca no-profit) da 141 diversi Paesi nel mondo. REDCap (Research Electronic Data Capture) è un’applicazione web sicura specificamente progettata per la creazione di database in ambito medico e che permette di gestire la raccolta online di dati relativi a studi clinici ed osservazionali. Esso consente di sviluppare schede raccolta dati elettroniche (electronic Case Report Forms o eCRF), accessibili via web esclusivamente dagli sperimentatori partecipanti agli Studi. Il sistema garantisce inoltre l’integrità dei dati […]”, e la loro riservatezza essendo previste molteplici misure di sicurezza ai sensi degli artt. 5, par. 1, lett. f) e 32 del Regolamento;

- il Promotore ha accesso unicamente a dati pseudonimizzati e che anche le comunicazioni di farmacovigilanza (obbligatorie ai sensi dell’art. 5 comma 2 D.M. Salute 30 novembre 2021) contengono unicamente dati in forma pseudonimizzata. Sul punto si rappresenta che, come indicato nell’informativa, il trasferimento extra UE ad AstraZeneca dei dati personali avverrà per motivi di interesse pubblico rilevante nel rispetto del combinato disposto degli artt. 49 RGPD e 2 sexies d. lgs. 196/03; a tale riguardo, nella valutazione di impatto è ulteriormente indicato che “i dati vengono trasferiti extra-UE solo per finalità di farmacovigilanza, per la segnalazione degli eventi avversi ad AstraZeneca, Azienda titolare della AIC del Farmaco sperimentale. Le segnalazioni, che possono contenere dati in forma pseudonimizzata, [...] sono gestite dall’Azienda in compliance con GDPR. Nel dettaglio, le segnalazioni vengono mendate tramite mail dal Promotore a Data Entry site di AZ che possono essere localizzati in EU o extra EU (India o Messico) e poi raccolte in server intra-EU” facendo esplicito rinvio, in particolare, al decreto del Ministero della Salute del 30 novembre 2021;

- “gli Sperimentatori del Centro (ospedale partecipante alla sperimentazione clinica) sono gli unici a conoscere la corrispondenza fra il codice del soggetto in Studio e la sua identità. La pseudonimizzazione viene realizzata dalla piattaforma stessa tramite la generazione di un codice univoco per paziente ed è responsabilità del Centro e del Promotore gestire la corrispondenza fra codice univoco e dati identificativi del soggetto (nome e cognome) tramite, alternativamente:

la creazione di un registro cartaceo

la creazione di un registro elettronico”;

- secondo la Fondazione “La sperimentazione clinica o clinical trial rappresenta, quindi, una forma di “esperimento pianificato” condotto su pazienti e disegnato allo scopo di definire quale sia il migliore dei trattamenti possibili per i futuri pazienti affetti da una specifica condizione patologica. La pianificazione della sperimentazione clinica prevede che ipotesi sperimentale, osservazione, misurazione, classificazione dei dati ed interpretazione dei risultati obbediscano a criteri di rilevanza scientifica, fattibilità etica e correttezza metodologica. Uno dei principi fondamentali della metodologia dei trial clinici e, più in generale, della ricerca scientifica, è che i dati che vengono raccolti e successivamente pubblicati debbano poter essere verificati e che siano riproducibili. Questo può accadere anche a distanza di molti anni, in occasione di una revisione della letteratura, di esecuzione di meta – analisi, di discussioni in ambito scientifico sulla scelta delle strategie diagnostiche e terapeutiche future o in occasione della revisione della sicurezza di un farmaco nella fase di post-commercializzazione. Così come può accadere che sia la Rivista scientifica su cui un lavoro è stato pubblicato a richiedere dettagli anziché verifiche.”;

- in termini generali l’utilità che i dati raccolti per scopi di ricerca vengano conservati quanto più a lungo possibile, ciò in quanto essi potrebbero risultare utili per addestrare algoritmi “che siano guida per il paziente e per il medico”, favorire analisi di controllo, stesura di capitoli di libri di testo, riportando “alcuni esempi di lavori scientifici pubblicati su riviste internazionali in cui sono stati utilizzati dati presenti” nell’archivio della Fondazione, da “oltre 30 anni”. La Fondazione ha rappresentato, inoltre, di essere dal “2017 un Membro Associato del Consorzio Harmony Alliance (Healthcare Alliance for Resourceful Medicine Offensive against Neoplasms in Hematology), un network pubblico-privato a cui partecipano 53 Partners e 35 Membri Associati da 22 Paesi europei, con l’intento di fornire i dati relativi ai propri studi e di utilizzare la piattaforma per meglio mettere a punto le proprie strategie di ricerca;

- Il progetto è stato finanziato all'interno della Innovative Medicines Initiative (IMI), sostenuta dall'Unione Europea e dalla European Federation of Pharmaceutical Industries and Associations (Efpia). L’obiettivo è quello di velocizzare lo sviluppo di farmaci più efficaci e sicuri per i pazienti tramite la costituzione di un singolo database che contenga le informazioni, su pazienti con patologie ematologiche, che attualmente sono disperse nei singoli database degli studi clinici e dei registri europei”;

- poste tali premesse “considerando la natura osservazionale dello studio, dopo un riesame del progetto specifico, gli sperimentatori clinici ritengono congruo anche un tempo di conservazione […] pari a 25 anni”;

- tale periodo risulta adeguato e pertinente rispetto ad “uno dei principi fondamentali della metodologia della ricerca scientifica”, ossia che “i dati raccolti e successivamente pubblicati debbano poter essere verificati e riproducibili. Questa necessità può manifestarsi anche a distanza di molti anni, in occasione di una revisione della letteratura, di esecuzione di metanalisi, di discussioni in ambito scientifico sulla scelta delle strategie diagnostiche e terapeutiche future o in occasione della revisione della sicurezza di un farmaco una volta entrato in commercio” anche tenuto conto della “sempre maggiore sopravvivenza nella patologia considerata” [...] Questo bacino di dati costituirebbe infine, per un tempo congruo rispetto allo sforzo per la raccolta degli stessi, una preziosa fonte di informazioni per la progettazione di studi a venire, garantendo la conservazione del patrimonio informativo raccolto dalla Fondazione;

- in riscontro alla richiesta dell’Ufficio di fornire “Documentate motivazioni tecnico-scientifiche per le quali si rende necessaria la conservazione dei dati per 25 anni”, nel ribadire le motivazioni sopra esposte la Fondazione ha dichiarato di “rideterminare il periodo di conservazione in un anno a far data dalla chiusura dello Studio come prevista dal Protocollo, tempo strettamente necessario all’elaborazione dei dati raccolti ed alla successiva stesura della pubblicazione scientifica”;

- “a tutti i pazienti inseriti negli studi GIMEMA, al momento della presentazione dello studio da parte del medico, viene consegnato un Foglio informativo ed un Consenso informato che il paziente stesso dovrà firmare, in cui verrà specificato il termine di conservazione dei dati – con una breve spiegazione del motivo per cui si è giunti alla scelta di un periodo così lungo -, le modalità con cui saranno raccolti, le modalità di conservazione e che i dati saranno conservati per studi futuri”;

- “Al termine del ciclo di vita del dato, […] i dati saranno archiviati su server cloud ubicati all’interno dell’UE con una procedura di de-identificazione che provvederà a rimuovere ogni campo potenzialmente identificatore, a generare un codice hash del codice paziente (che verrà eliminato), a cancellare e rimuovere i campi a contenuto libero e a modificare i campi data in intervalli temporali (es data di nascita in età) rendendo dunque i dati completamente anonimi”;

- a seguito di una specifica richiesta da parte dell’Ufficio del Garante, le tecniche di anonimizzazione sono state irrobustite con l’introduzione di ulteriori misure di generalizzazione dei dati;

RILEVATO che nella valutazione di impatto sono indicate specifiche misure per ricondurre i rischi correlati ai trattamenti ad un livello accettabile e per dare effettiva applicazione ai principi in materia di protezione dei dati personali;

OSSERVATO che la normativa in materia di protezione dei dati personali prevede che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, paragrafo 1, n. 1 del Regolamento);

per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5). La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (art. 5, par. 1, lett. c) e 89 del Regolamento). A tale riguardo, il Gruppo Articolo 29 ha evidenziato che essa vale “a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile (WP216, 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014)” ma essa è certamente anche, una misura di minimizzazione dei dati che realizza e contribuisce a rendere il principio di necessità (cfr. par. 3.5. Linee guida 4/2019 sull’articolo 25 Protezione 15 dei dati fin dalla progettazione e per impostazione predefinita, Versione 2.0 Adottate il 20 ottobre 2020; provv. del Garante del 23 gennaio 2020, doc. web 9261093)

il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto delle pertinenti disposizioni del Regolamento (artt. 5, 9, e 89) e del Codice (artt. 104 e ss.), nonché delle Prescrizioni (doc. web n. 9124510) e delle Regole deontologiche (doc. web n. 9069637), che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101);

tra i principi applicabili al trattamento quelli di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento);

in attuazione del principio di liceità, il titolare del trattamento deve individuare tra quelle enucleate agli artt. 6 e 9 del Regolamento, la condizioni di liceità in concreto più appropriata, corrispondente all’obiettivo e all’essenza del trattamento e conseguentemente indicarla nella valutazione d’impatto e nell’informativa predisposta per gli interessati, tenuto anche conto delle differenti implicazioni che ciascuna di esse può avere sui diritti spettanti agli interessati (art. 15-22 del Regolamento);

il trattamento di dati personali per scopi di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, è ammesso previa acquisizione del consenso dell'interessato. Tale presupposto non è necessario quando il trattamento è autorizzato da una specifica disposizione normativa (artt. 9, par. 2 lett. g) e j) e art. 11 del Codice prima parte) ovvero “[...] quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento). In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante, ai sensi dell'articolo 36 del Regolamento (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento);

le Prescrizioni specificano quali sono le circostanze nelle quali non è possibile acquisire il consenso degli interessati, correlandole a specifiche motivazioni di ordine etico e organizzativo e richiedendo che esse siano debitamente motivate nel progetto di ricerca (punto 5.3 delle Prescrizioni);

con riferimento alle specifiche circostanze in cui non è possibile informare gli interessati si osserva in primo luogo che esse, da considerarsi alternative e non cumulative, riguardano:

i) l’impossibilità di informare direttamente gli interessati,

ii) la circostanza che ciò implichi uno sforzo sproporzionato;

iii) il rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca;

la richiamata casistica concerne, secondo quanto indicato al punto 5.3 delle Prescrizioni, motivi etici e di impossibilità organizzativa. In omaggio al principio di responsabilizzazione e trattandosi di ipotesi residuali, tali circostanze devono essere ampiamente motivate e documentate nella valutazione di impatto e nell’istanza di consultazione preventiva al Garante;

in particolare, alla luce delle richiamate Prescrizioni, l’impossibilità di informare gli interessati si considera un impedimento di tipo organizzativo che include i casi in cui gli interessati siano deceduti o non contattabili. Il titolare può considerare effettivamente integrata tale ipotesi solo all’esito del compimento di ragionevoli sforzi volti a contattarli, quali la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente. La ragionevolezza dello sforzo deve essere comprovata ad esempio alla luce della natura giuridica pubblica o privata del titolare del trattamento, delle risorse disponibili, della natura no profit dello studio;

non è tenuto, invece, ad effettuare alcun tentativo di contatto lo sponsor che ritiene, ed è in grado di comprovare, che informare gli interessati e quindi acquisirne un valido consenso comporti uno sforzo sproporzionato. A titolo esemplificato, tale ancor più residuale circostanza può essere correlata all’enorme numerosità del campione, alla totale assenza di risorse (economiche o di personale) disponibili per eventuali tentativi di ricontatto, all’eccessiva durata del tempo stimato per svolgere tali operazioni;

il Regolamento e il Codice prevedono poi specifiche disposizioni per il trattamento di dati personali svolti per il perseguimento di compiti di interesse pubblico o connessi all’esercizio di pubblici poteri, ivi inclusi i trattamenti svolti per fini di ricerca scientifica e per farmacovigilanza. In particolare, a tal fine, è richiesto che tali trattamenti siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 6, par. 1, lett. e), par. 2 e 3, art. 9, par. 2, lett. g) e art. 89 del Regolamento e art. 2-sexies, comma 2, lett. z) del Codice);

i dati personali, inoltre, devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi;

qualora i dati siano ottenuti presso terzi, o precedentemente raccolti per altri scopi, il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui comunicare tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento).

Sul punto, le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, prevedono che, qualora il titolare raccolga i dati personali presso terzi e fornire l’informativa all’interessato comporti uno sforzo sproporzionato rispetto al diritto tutelato, esso debba adottare idonee forme di pubblicità, indicando a titolo esemplificativo talune specifiche modalità (art. 6, comma 3);

il principio di limitazione della conservazione dei dati impone che essi siano “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato” (art. 5, par. 1, lett. e) del Regolamento);

in base al principio di accountability “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento). In particolare, titolari devono assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela;

il dato anonimizzato è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato;

un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014);

le condizioni giuridiche per i trasferimenti di dati personali verso paesi terzi, enucleate al Capo V del Regolamento, sono volte ad assicurare un livello di protezione adeguato dei dati oggetto di trasferimento (artt. 44 e ss; cfr. anche par. 3, Guidelines 05/2021 cit.). In particolare, è previsto che, in assenza di una decisione di adeguatezza ai sensi dell’art. 45 del Regolamento, i trasferimenti di dati personali verso Paesi terzi siano consentiti ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (artt. 46 e 47 del Regolamento);

OSSERVATO che in relazione al trattamento dei dati per scopi di ricerca in campo medico, biomedico e epidemiologico il Garante ha adottato in particolare i seguenti pareri del 20 giugno 2019, doc. web 9123447; 29 ottobre 2020, n. 202, doc. web 9517401; 10 dicembre 2020 doc. web 9520597; 17 settembre 2020, doc. web 9479364; del 17 settembre 2020, doc. web 9479382; 29 ottobre 2020, n. 202, doc. web 9517401; 10 dicembre 2020, doc. web 9520597; 17 settembre 2020, doc. web 9479364; 17 settembre 2020, doc. web 9479382; 1° novembre 2021, doc. web 9731827; del 30 giugno 2022, doc. web 9791886; 24 novembre 2022 doc. web. 9842737; 2 marzo 2023, doc. web 9875254; 22 giugno 2023, doc. web 9919244; 6 luglio 2023, doc. web 9919999; 18 luglio 2023, doc. web 9920977; 28 settembre 2023 doc. web 9948285, 26 ottobre 2023 doc. web 9960973, 7 dicembre 2023 in corso di pubblicazione;

RITENUTO che la Fondazione, in qualità di promotore e titolare, abbia correttamente individuato le basi giuridiche del trattamento, specificando adeguatamente i motivi che giustificano l’impossibilità di tipo organizzativo ad informare gli interessati e acquisirne un valido consenso, secondo quanto previsto dal punto 5.3 delle Prescrizioni. Al riguardo, si osserva, infatti, come sia previsto che il paziente venga ritenuto perso al follow up solo dopo 3 tentativi documentati di contatto mentre il decesso verrà verificato nelle relative cartelle cliniche e che abbia correttamente rappresentato come la mancata inclusione dei dati riferiti a tali pazienti nello Studio pregiudicherebbe gravemente il conseguimento delle finalità della ricerca, andando ad incidere sulla completezza e rappresentatività del campione;

RILEVATO che la Fondazione ha dichiarato, ai sensi dell’art. 168 del Codice, che lo Studio verrà condotto solo previo motivato parere favorevole del competente Comitato etico;

TENUTO CONTO che infatti i centri partecipanti e la Fondazione non possono dare inizio alla raccolta dei dati riferiti a soggetti deceduti o non contattabili fino all’ottenimento del parere del o dei comitati etici territorialmente competenti in quanto ciò costituisce condizione di liceità dei trattamenti quando non è possibile acquisire il consenso degli interessati (cfr. provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827);

RITENUTO che la Fondazione, prevedendo la pubblicazione dell’informativa sul proprio sito web, nonché sui siti di tutti i centri partecipanti in una pagina facilmente accessibile, abbia individuato una misura efficace per il corretto adempimento degli obblighi di trasparenza correlati ai trattamenti dei dati personali riferiti ai pazienti deceduti o non contattabili (artt. 5, par. 2, lett. a), 14 del Regolamento e 6, comma 3 delle Regole deontologiche);

RITENUTO tuttavia necessario che venga garantito che tale pubblicazione dell’informativa sul proprio sito web, nonché sui siti di tutti i centri partecipanti, permanga per tutta la durata dello Studio;

OSSERVATO che in base al richiamato principio di limitazione della conservazione, in assenza di una specifica disposizione normativa che lo preveda espressamente, la conservazione dei dati, non può protrarsi oltre il periodo necessario al conseguimento dello scopo della raccolta e che successivamente i dati devono essere cancellati o anonimizzati (art. 5, par. 1, lett. e) del Regolamento);

RITENUTO che nel corso dell’attività istruttoria svolta la Fondazione abbia individuato un periodo di conservazione dei dati proporzionato allo scopo della raccolta;

FERMO RESTANDO che nel corso di tale periodo di conservazione eventuali studi futuri con i medesimi dati potranno essere svolti solo previa acquisizione di una idonea base giuridica da rinvenirsi nel consenso degli interessati, come dichiarato dalla stessa Fondazione ai sensi dell’art. 168 del Codice, o di altra condizione di liceità ad esso equipollente (art. 110 del Codice);

VISTO che l’anonimizzazione dei dati deve essere considerata come un trattamento dinamico da valutare in ragione dei differenti criteri indicati nel considerando 26 del Regolamento e in particolare delle concrete finalità che il titolare intende perseguire con i dati all’esito della loro anonimizzazione. Il rischio di re-identificazione degli interessati, infatti, può variare a seconda che l’anonimizzazione sia effettuata al solo scopo di archiviazione delle informazioni trattate, ovvero di ulteriore utilizzazione delle stesse eventualmente in combinazione con altre informazioni o anche per un’eventuale condivisione dei dati con la comunità scientifica;

FERMO RESTANDO che la Fondazione, sia in ipotesi di archiviazione che di condivisione dei dati anonimizzati, si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e tenga traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento di una soglia predefinita, adeguata rispetto al contesto, individuata sul totale di record inclusi nella banca dati;

RITENUTO che la Fondazione abbia correttamente definito i ruoli (di titolari, responsabili e rappresentanti ai sensi degli artt. 24, 27 e 28 del Regolamento) dei soggetti a vario titolo coinvolti nella realizzazione dello Studio, implementando una struttura organizzativa tale da escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dei pazienti arruolati nel richiamato Studio;

RITENUTO che la Fondazione, nello Studio presentato, abbia dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati trattati siano preventivamente e durante tutta la fase del trattamento minimizzati attraverso idonee tecniche di pseudonimizzazione;

RITENUTO che la valutazione di impatto, tenuto anche conto della natura multicentrica dello Studio, individui, nel suo insieme misure tecniche e organizzative idonee a ricondurre i rischi correlati ai trattamenti necessari per la realizzazione dello Studio ad un livello accettabile;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime al Fondazione GIMEMA Franco Mandelli onlus con sede in via Casilina, 5 – 00182 Roma cf 97154650580 parere favorevole per la raccolta e il trattamento dei dati personali dei pazienti deceduti o non contattabili arruolati nello studio multicentrico osservazionale retrospettivo e prospettico “Incidenza di infezione da COVID-19 severa in pazienti con Leucemia Linfatica Cronica o Linfoma non Hodgkin Indolente a cellule B che hanno ricevuto profilassi con Tixagevimab and Cilgavimab in Italia: studio osservazionale condotto dal Working party GIMEMA sulle malattie linfoproliferative croniche e dalla Fondazione Italiana Linfomi” a condizione che:

1. la pubblicazione dell’informativa predisposta ai sensi dell’art. 14 del Regolamento permanga disponibile sul sito internet del promotore e dei centri partecipanti per tutta la durata dello Studio.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei