[doc. web n. 10036817]

Provvedimento del 24 aprile 2024

Registro dei provvedimenti
n. 300 del 24 aprile 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice relativo al trattamento di dati personali per ricerca medica, biomedica e epidemiologica;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati genetici e quelle relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 4 e n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web n. 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliero-Universitaria Careggi, in qualità di Promotore e titolare del trattamento, ai sensi dell’art. 24 del Regolamento, per la realizzazione dello studio osservazionale, retrospettivo, monocentrico e no-profit “Tumore Fibroso Solitario: fattori prognostici fra valutazione istopatologica e nuovi approcci di diagnostica biomolecolare (22803)”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it , doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria

L’Azienda Ospedaliero-Universitaria Careggi (di seguito Azienda) ha presentato un’istanza di consultazione preventiva, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione, in qualità di promotore e titolare del trattamento, ai sensi dell’art. 24 del Regolamento, dello studio osservazionale, retrospettivo, monocentrico e no-profit “Tumore Fibroso Solitario: fattori prognostici fra valutazione istopatologica e nuovi approcci di diagnostica biomolecolare (22803)” (di seguito lo “Studio”), atteso che esso comprende anche dati riferiti a soggetti deceduti o non contattabili (nota del 19 giugno 2023, prot. n. 0014366).

L’Azienda ha trasmesso in atti il protocollo dello Studio, la valutazione di impatto (“Vip”), svolta ai sensi dell’art. 35 del Regolamento e il modello di “informativa sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento […]”.

L’Ufficio del Garante ha avviato un approfondimento istruttorio in relazione all’istanza (nota del 7 luglio 2023, prot. n. 104972).

Dalla documentazione in atti, così come acquisita e modificata in sede istruttoria anche alla luce dei rilievi formulati dall’Ufficio, emerge che lo scopo principale dello studio (Endpoint primario) è “la caratterizzazione a livello molecolare dei tumori fibrosi solitari” patologia oncologica rara particolarmente aggressiva, che sarà eseguita sulla base di un'analisi di trascrittomica su campioni di tessuto tumorale alla diagnosi”, ciò in quanto “Una migliore caratterizzazione della neoplasia grazie all’approccio trascrittomico potrebbe infatti permetterci di meglio definire l’iter terapeutico in modo caso-specifico ed anche aprire la strada per terapie innovative paziente-specifiche”. Gli ulteriori obiettivi dello studio (Endpoint secondari) sono:

“il confronto fra il profilo molecolare di tumori fibrosi solitari di pazienti che hanno presentato un esito infausto della malattia con il profilo molecolare […] di tumori di pazienti che, ad un follow-up di almeno 2 anni, risultino costantemente liberi da malattia;

la valutazione […] della predittività prognostica dei criteri istopatologici attualmente utilizzati per caratterizzare il tumore fibroso solitario”.

L’Azienda ha inoltre chiarito che lo “studio proposto ricomprende […] anche l’analisi di dati genetici” e che nel “rispetto delle specifiche misure per custodia e sicurezza, previste dalle Prescrizioni di cui al provvedimento 146 del 5 giugno 2019, […]  i campioni verranno conservati per un periodo di tempo di 12 mesi, corrispondente alla durata dello studio clinico, al termine dei quali verranno distrutti. Non sono previsti altri utilizzi oltre a quelli indicati. È individuato un responsabile della conservazione dei campioni e dei dati […]. Il locale dove i campioni verranno fisicamente conservati è chiuso a chiave, accessibile pertanto solo alle persone autorizzate. Gli accessi on-line al database sono effettuati con credenziali personali e tracciati dal database Redcap. Conservazione, utilizzo e trasporto dei campioni avverranno secondo le procedure di best practice e a mezzo delle sole persone autorizzate nell’ambito dello studio, e con tempistica immediata dalla preparazione presso Anatomia Patologica al trasporto al locale di conservazione per lo studio. Il percorso sarà tracciato in specifica sezione del database Redcap relativo allo studio. La consultazione dei dati molecolari tramite strumento elettronico (database Redcap) sarà possibile solo a pseudonimizzazione già effettuata e prevede accesso limitato ad utenti autorizzati e detentori di password personale, il cui ottenimento sarà possibile solo previa richiesta all’amministrazione del servizio REDCap aziendale”.

Con specifico riferimento alla disciplina dei cd incidental findings (cfr. punti 4.2, lett. a), b) e d) e 4.11.1. delle Prescrizioni; art. 8, comma 4 regole deontologiche), l’Azienda ha chiarito che “Nel consenso informato è già previsto che il partecipante sarà informato se dalle indagini previste dallo studio emergessero risultati "inattesi" o "incidentali", quali la presenza di altre malattie oltre a quella già nota o la predisposizione a svilupparle. In questo caso l'individuo sarà messo in grado di decidere se desidera esserne informato in ogni caso o solo quando ciò possa comportagli possibili benefici in termini di terapia o prevenzione, oppure possa essergli utile ai fini della scelta riproduttiva”.

Richiamando le parti del protocollo maggiormente rilevanti per i profili di protezione dei dati personali, viene rappresentato che lo Studio, della durata di 1 anno, prevede, “attraverso la raccolta di campioni biologici provenienti dai pregressi prelievi tissutali bioptici e/o dai reperti escissionali post-operatori, di correlare i dati omici ottenuti con il risultato clinico dei pazienti”.

In particolare, la popolazione oggetto di analisi sarà composta da circa n. 30 “[…] pazienti che sono stati trattati per la suddetta patologia presso la SOD Ortopedia Oncologica e Ricostruttiva dell’AOU Careggi dal 2002 al 2020. I campioni tissutali su cui saranno effettuate le analisi saranno campioni ricavati dalla iniziale biopsia e/o dall’intervento di escissione e conservati in blocchetti di paraffina. […] I pazienti verranno selezionati ed arruolati (con la verifica dell’adeguatezza del materiale tissutale disponibile) nell’arco temporale di 6 mesi” e “varranno identificati tramite codice numerico per preservarne la pseudonimizzazione, corrispondente al numero progressivo attribuito dalla sequenza di arruolamento. La lista dei codici ed i corrispondenti dati identificativi del paziente verrà conservata in un documento separato protetto da password e custodito sotto la responsabilità dallo sperimentatore principale. Per la caratterizzazione trascrittomica sarà utilizzata la piattaforma NanoString nCounter (NanoString Technologies Inc.) utilizzando il pannello PanCancer IO 360 Gene Expression Panel (770 geni) e il pannello nCounter miRNA Expression (843 miRNA). I campioni verranno conservati per un periodo di tempo di 12 mesi, corrispondente alla durata dello studio clinico, al termine dei quali verranno distrutti. Non sono previsti altri utilizzi […]”. A tale proposito, l’Azienda ha dichiarato ai sensi dell’art. 168 del Codice anche che “[…] la piattaforma NanoStringnCounter” consiste in un “software installato su un estrattore/processatore del DNA presente in Azienda e fornito dalla ditta NanoString Technologies inc. La piattaforma NanoStringnCounter con la quale sarà effettuata la caratterizzazione trascrittomica è dunque localizzata in sede, per cui non sarà effettuato alcun trasferimento di dati. La piattaforma, inoltre, non conserva in alcuna forma i dati ricavati dalla caratterizzazione, che verranno immediatamente salvati su supporto fisico ed analizzati offline”.

Il protocollo e la Vip indicano nel dettaglio le tipologie di informazioni che saranno oggetto di trattamento nell’ambito dello Studio, che comprenderanno: “dati anagrafici, la diagnosi oncologica con relativa data e stadiazione, la sede e le caratteristiche del tumore (dimensioni, localizzazione sovra- o sotto-fasciale), i trattamenti effettuati, lo status oncologico al follow-up, i dati molecolari relativi alle indagini previste dallo studio sui campioni tissutali, patologie concomitanti, data diagnosi del tumore”. Tali dati “convergeranno in un database comune […] costruito e gestito attraverso il programma RedCap sito sul server aziendale AOU Careggi, con accesso tramite utente registrato e password e con tracciatura di ogni accesso. Nel database, associati al codice di pseudonimizzazione, saranno archiviati, oltre ai dati sopra indicati, le informazioni molecolari provenienti dalle analisi previste dallo studio”. La chiave di decripting del codice di pseudonimizzazione -che consiste in un numero progressivo, non identificativo- “verrà conservata in modo riservato”. Il personale che avrà accesso a tali informazioni è stato “espressamente” autorizzato e istruito sul trattamento dei dati personali.

Con riferimento alle basi giuridiche del trattamento, l’Azienda ha evidenziato che “il trattamento dei dati degli interessati che sarà possibile informare si basa […] sul consenso ai sensi dell’art. 9 par. 2 lettera a) del Regolamento. Per gli interessati che non sarà possibile informare e per i quali non sarà possibile ottenere il consenso, in quanto risultino essere al momento dell’arruolamento nello studio deceduti o comunque non contattabili (all’esito di ogni ragionevole sforzo compiuto per contattarli, anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente), si procederà secondo le modalità di cui all’art. 110 comma 1 secondo periodo del D.Lgs. 30 giugno 2003 n. 196 Codice in materia di protezione dei dati personali, ovvero mediante sottoposizione del protocollo di studio a consultazione preventiva dell’Autorità Garante per la protezione dei dati personali”.

A tale riguardo, l’Azienda in sede istruttoria ha rappresentato che rispetto allo Studio “E’ prevedibile che vi siano soggetti che risulterà impossibile contattare, dal momento che la patologia oggetto dello studio è patologia oncologica maligna, sia pur a comportamento variabile di aggressività. Sulla base delle maggiori casistiche pubblicate, può considerarsi [come] valore di riferimento per questi pazienti una sopravvivenza a 5 anni dell’89% e a 10 anni del 73%. Inoltre, vi è da considerare la possibilità, come in tutti gli studi retrospettivi, dell’irreperibilità di alcuni pazienti per modifica dei recapiti, trasferimenti di residenza, ecc., elementi che possono rendere impossibile il reperimento delle persone, nonostante gli sforzi che si possano mettere in atto. […]. Sulla base della nostra esperienza possiamo indicare il valore di 5-8% come percentuale media di pazienti che risultano irreperibili nella ricerca a distanza di tempo dal trattamento”.

Non risulta trasmesso il parere del comitato etico territorialmente competente. Tuttavia, l’Azienda nel protocollo ha chiarito che: “[…] lo sperimentatore principale garantirà che il presente studio sarà esaminato e approvato da un Comitato Etico locale. Il Comitato Etico esaminerà e approverà anche il modulo di Consenso Informato e ogni altra informazione fornita al paziente prima dell'arruolamento, così come ogni modulo che sarà utilizzato per il reclutamento dei pazienti”.

In relazione al principio di limitazione della conservazione dei dati, in sede istruttoria anche alla luce delle osservazioni del Garante, l’Azienda ha da ultimo dichiarato che “una durata verosimilmente adeguata del tempo di conservazione dei dati ai fini di eventuali rivalutazioni/approfondimenti susseguenti alla pubblicazione dei risultati, può in effetti essere quella di 5 anni” modificando quindi il tempo di conservazione inizialmente indicato in 7 anni in analogia a quanto previsto dalla normativa di cui dal d.lgs. 6 novembre 2007, n. 200, Attuazione della direttiva 2005/28/CE recante principi e linee guida dettagliate per la buona pratica clinica relativa ai medicinali in fase di sperimentazione a uso umano, nonché' requisiti per l'autorizzazione alla fabbricazione o importazione di tali medicinali.

È stato rappresentato che [...]. Alla fine di tale periodo, gli sperimentatori principali dello studio distruggeranno tale file eliminando il collegamento tra i partecipanti allo studio, i dati e i campioni raccolti durante la ricerca dei pazienti inseriti nello studio”. È inoltre precisato che “Per le analisi statistiche sarà creato un file temporaneo Excel, che dopo l’utilizzo sarà cancellato. I risultati saranno presentati in forma aggregata” e “[…] resi disponibili per convegni e pubblicazioni scientifiche durante lo studio”. A tale riguardo l’Azienda ha precisato che “il foglio Excel per l’analisi statistica dei dati viene prodotto automaticamente dal software Redcap, in fase di estrazione dei dati” assicurandone l’esattezza.

In relazione al principio di esattezza dei dati, nella valutazione di impatto è ulteriormente precisato che “All'atto dell'inserimento nel database, verrà effettuata una doppia verifica del dato estratto dalla documentazione clinica” che verrà affidata ad un operatore diverso rispetto a quello che ha inserito i dati.
Per quanto riguarda il principio di “Integrità e riservatezza dei dati” nella Vip è chiarito che “La sicurezza dei dati è assicurata dall'utilizzo del software Redcap sul server aziendale, con tracciamento accessi e modifiche”.

L’Azienda ha altresì chiarito che laddove non sarà possibile acquisire il consenso degli interessati, “l’informativa sarà resa disponibile sul sito istituzionale. Sarà resa invece l’informativa e richiesto il consenso agli interessati inclusi nella ricerca in tutti quei casi in cui ciò sia possibile”.

La valutazione d’impatto, sottoscritta anche dal responsabile della protezione dei dati, reca infine una sintetica analisi dei rischi correlati al trattamento dei dati personali nell’ambito dello Studio. Con specifico riferimento al rischio relativo all’”accesso illegittimo dei dati”, esso è valutato come trascurabile in quanto “I dati sono […] pseudonimizzati e separati dalle informazioni anagrafiche dei pazienti; il server che ospita il database è accessibile esclusivamente attraverso il protocollo https (TLS) con esclusione di ogni accesso di altro tipo (SMB, FTP o altri). Gli accessi sistemistici di servizio (per manutenzione o aggiornamenti software) sono consentiti solo attraverso protocolli criptati (ssh o simili) e soltanto da rete intranet AOUC. Eventuali necessità di accessi da internet sono veicolate attraverso VPN. Le credenziali amministrative sono in possesso del solo personale interno autorizzato. Le credenziali di gestione dell'applicativo sono personali e rilasciate ai soli dipendenti autorizzati che sono stati istruiti riguardo la loro corretta custodia”.

In relazione alla “probabilità del rischio di modifica indesiderata dei dati” essa è ritenuta trascurabile in quanto “I dati vengono sottoposti a backup giornaliero, con possibilità di rapido restore in caso si verifichi una modifica indesiderata. L'accesso in scrittura ai dati è riservato a selezionati utenti, ed avviene attraverso interfacce che minimizzano la probabilità di errore”.

Infine, la probabilità di perdita dei dati è stata stimata come estremamente bassa, seppure l'eventuale danno sarebbe molto elevato, ”ciò tenuto conto delle “strutture hardware ridondate sulle quali si fonda il sistema” delle “procedure di backup sistematico” e della “resilienza intrinseca del data center che ospita l'applicativo”.

L’Azienda ha inoltre trasmesso copia delle informative rese ai sensi degli artt. 13 e 14 del Regolamento revisionate alla luce dei rilievi emersi in sede istruttoria.

2. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni, nonché delle Regole deontologiche che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

In base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principi di «liceità, correttezza e trasparenza» (art. 5, par. 1, lett. a) del Regolamento).

Il principio di liceità, richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il consenso dell’interessato.

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto, non è necessario “[...] quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

I dati personali devono essere trattati altresì nel rispetto del principio di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento).

Al riguardo, merita segnalarsi come già il Gruppo art. 29 nel Parere 3/2010 sul principio di responsabilità, del 13 luglio 2010, ne sottolineasse la rilevanza, rappresentando l’esigenza che gli obblighi giuridici fossero tradotti in misure concrete di protezione dei dati di volta in volta efficaci all’effettiva applicazione del principio di protezione dei dati personali considerato e che i titolari del trattamento fossero nella condizione di comprovare l’idoneità delle misure implementate anche tenuto conto del rischio connesso, nel caso specifico, al trattamento dei dati (cfr. anche linee guida per la protezione della vita privata dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) adottati nel 1980).

Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Il requisito di cui all’articolo 25 del Regolamento obbliga i titolari a provvedere affinché la protezione dei dati sia integrata nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento. Il titolare adotta misure tecniche e organizzative adeguate che sono concepite per attuare in modo efficace i principi di protezione dei dati e integra nel trattamento le necessarie garanzie per conformare i trattamenti alla disciplina in materia di protezione dei dati e per tutelare i diritti e le libertà degli interessati.

In base al rinnovato quadro normativo in materia di protezione dei dati personali, sulla base del richiamato principio di responsabilizzazione e dell’obbligo di protezione dei dati sin dalla progettazione, si richiede al titolare una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

La valutazione di impatto costituisce la sede principale nell’ambito della quale svolgere tali valutazioni e rappresentare le misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo. Tali misure devono essere periodicamente verificate e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati (provv. del 30 giugno 2020, doc. web n. 9357972 e del 30 luglio 2022 doc. web n. 9808839).

L’art. 89, par. 1 del Regolamento dispone, in particolare, che “Il trattamento a fini [...] di ricerca scientifica è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo [...]”.

I dati devono essere trattati anche nel rispetto di principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento). In relazione ai correlati obblighi informativi, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai paragrafi da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità (…)”, indicando delle specifiche modalità a titolo esemplificativo.
Va osservato poi il principio di limitazione della conservazione in base al quale i dati devono essere conservati solo per il tempo necessario al perseguimento degli scopi della raccolta o se del caso definito in base a specifici obblighi normativi (art. 5, par. 1 lett. b) e e) del Regolamento).

Con specifico riferimento al trattamento dei dati genetici rilevano le specifiche misure per la custodia e la sicurezza di tali dati e la disciplina dei cd incidental findings, (cfr. punti 4.2, lett. a), b) e d) e 4.11.1. delle predette Prescrizioni; art. 8, comma 4 regole deontologiche);

La disciplina in materia di protezione dei dati personali non trova applicazione in relazione ai dati anonimi. A tale riguardo, giova inoltre precisare che si considerano anonime, le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Si evidenzia infine che il Garante si è già pronunciato su specifiche istanze di consultazione preventiva, ai sensi degli art. 110 del Codice e 36 del Regolamento, con i seguenti provvedimenti: provv. del 29 ottobre 2020, n. 202, doc. web n. 9517401; provv. del 10 dicembre 2020 doc. web n.  9520597; provv. del 17 settembre 2020, doc. web n. 9479364; provv. del 17 settembre 2020, doc. web n.  9479382; provv. del 1° novembre 2021, doc. web n.  9731827; provv. del 30 giugno 2022, doc. web n. 9791886; provv. del 24 novembre 2022 doc. web n. 9842737; provv. del 2 marzo 2023, doc. web n.  9875254; provv. del 22 giugno 2023, doc. web n. 9919244; provv. del 6 luglio 2023, doc. web n. 9919999; provv. del 18 luglio 2023, doc. web n. 9920977, provv. del 31 agosto 2023, in corso di pubblicazione).

3. Le valutazioni dell’Autorità

3.1 Le basi giuridiche del trattamento dei dati personali

Il Garante ritiene che l’Azienda in qualità di promotore dello Studio e di titolare abbia correttamente individuato negli artt. 110 del Codice e 36 del Regolamento, le basi giuridiche del trattamento dei dati personali dei pazienti deceduti e non contattabili, specificando adeguatamente, nel corso dell’istruttoria svolta, i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso, secondo quanto previsto dal punto 5.3 delle Prescrizioni.

Tale circostanza, nel caso in esame, risulta in particolare correlata alla elevata incidenza di mortalità dei pazienti che si intendono arruolare e alla loro irreperibilità nonostante gli sforzi posti in essere dalla Azienda che comporteranno anche “la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente”. L’Azienda ha inoltre dichiarato, ai sensi dell’art. 168 del Codice, che sulla base dell’esperienza maturata, una percentuale media pari al 5-8% dei pazienti da arruolare risulterà irreperibile, visto anche il tempo trascorso dal trattamento medico ricevuto.

Alla luce dell’esiguità del campione oggetto di osservazione (n. 30 pazienti), l’esclusione dallo Studio dei pazienti deceduti ovvero non contattabili produrrebbe conseguenze significative in termini di alterazione dei risultati in conformità con quanto previsto dal richiamato punto 5.3 delle Prescrizioni.

Tenuto conto che lo Studio, al momento della presentazione dell’istanza di consultazione preventiva, non aveva ancora ottenuto il parere del Comitato etico territorialmente competente, nonostante l’impegno assunto dall’Azienda di procedere in tal senso, si ritiene necessario osservare che quest’ultima potrà avviare le operazioni di trattamento relative allo Studio solo all’esito del rilascio del predetto parere favorevole in quanto elemento che si configura quale condizione di liceità e correttezza del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr. provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

3.2. Le misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati nello Studio

Si ritiene che l’Azienda, tenuto conto che trattasi di studio monocentrico, abbia individuato una modalità  efficace per l’adempimento degli obblighi di trasparenza correlati ai trattamenti in esame, prevedendo la pubblicazione dell’informativa sul proprio sito internet per tutta la durata dello Studio (ai sensi degli artt. 5, par. 2, lett. a) 14 del Regolamento e 6, comma 3 delle Regole deontologiche), ciò fermo restando quanto di seguito rilevato in ordine al contenuto delle informative (par. 3.4).

3.3. I principi di limitazione della conservazione e di minimizzazione dei dati personali

L’Autorità, nel prendere favorevolmente atto che nel corso dell’istruttoria l’Azienda abbia rivalutato il periodo di conservazione dei dati, passando da un periodo di 7 a uno di 5 anni, ritiene altresì che tale termine sia proporzionato rispetto agli obiettivi dello Studio anche alla luce delle motivazioni tecnico-scientifiche rappresentate dall’Azienda; tale termine infatti si rende necessario anche al fine di garantire “eventuali rivalutazioni/approfondimenti susseguenti alla pubblicazione dei risultati”.

Si osserva poi che l’Azienda ha rappresentato di voler garantire la minimizzazione dei dati attraverso tecniche di pseudonimizzazione che prevedono l’attribuzione a ciascun paziente arruolato di un codice univoco che consiste in un numero progressivo, non identificativo, la cui chiave di decripting è conservata in modo riservato. Al momento dell'inserimento nel database (Redcap) dei dati dei pazienti, estratti dalla documentazione clinica verrà effettuata una doppia verifica del dato affidata ad un operatore diverso rispetto a quello che ha inserito i dati nel predetto sistema; il foglio Excel per l’analisi statistica dei dati viene prodotto automaticamente dal software Redcap.

A tale riguardo, il Garante, con particolare riferimento alla fase di inserimento dei dati estratti dalla documentazione clinica nel sistema Redcap, intende in primo luogo osservare come, in termini generali, il Regolamento resti sostanzialmente neutro rispetto alla scelta del titolare di trattare i dati con modalità informatizzate o manuali, ferma restando l’esigenza che le misure implementale siano coerenti con lo stato dell’arte tecnologica e che vengano rispettati i principi di protezione dei dati personali, ivi incluso quello di privacy by design, in base al quale il titolare è tenuto ad adottare misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie, al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

Si osserva, pertanto, in linea di principio, che l’uso di strumenti non specifici e dunque non adeguati allo scopo perseguito (come in riferimento al caso in esame l’impiego di file excel nei quali i dati possono essere, anche accidentalmente, modificati o cancellati) espone i dati a rischi concreti per prevenire i quali il titolare deve intervenire con misure organizzative ad hoc, ogni volta nuove e per questo motivo onerose (in termini sia economici, di tempo e di risorse), laddove, invece, un intervento tecnologico sistemico, quale ad esempio l’utilizzo di strumenti automatizzati e appositamente configurati per la gestione dei dati, potrebbe offrire oltre che una maggiore economia di scala, un deciso adeguamento allo stato dell’arte e la possibilità di sfruttare misure che, per impostazione predefinita, assicurino in maniera più robusta effettiva applicazione ai principi di protezione dei dati personali, in particolare a quello di esattezza del dato (art. 5, par. 1, lett. d) del Regolamento).

Ciò premesso, tenuto conto degli strumenti in uso per la raccolta dei dati e della numerosità dei progetti di ricerca monocentrici svolti dall’Azienda, alcuni dei quali già sottoposti al parere del Garante (Studio clinico monocentrico, retrospettivo e osservazionale su pazienti cirrotici ricoverati per detossicazione da alcool “(Prot. TOX GHB 2022-1 OSS 21680)” e Studio retrospettivo osservazionale, monocentrico e no profit “Heparin induced thrombocytopenia after cardiac surgery. CE230392”), che vengono effettuati attraverso i medesimi strumenti informatici, il Garante rileva l’opportunità che siano implementate ulteriori e più robuste misure tecniche, in particolare al fine di assicurare by design effettiva applicazione al principio di esattezza dei dati -che ne garantisce anche la qualità-. Ciò ad esempio prevedendo cheuna volta completata la raccolta dei dati dei pazienti arruolati sul foglio excel, esso sia almeno firmato digitalmente attraverso un hash. La firma digitale generata dovrà essere detenuta da un soggetto diverso da quello addetto alla raccolta dei dati e, se del caso, all’occorrenza ripetuta, in particolare nelle ipotesi di modifica o migrazione dei dati in altri file. Tale misura infatti, nel rafforzare l’esattezza e la qualità dei dati raccolti nei fogli excel, assicura altresì che eventuali successive alterazioni degli stessi siano rapidamente rilevate e corrette.

3.4. Il trattamento dei dati genetici

L’Azienda nel corso dell’istruttoria ha chiarito che lo Studio, prevedendo l’analisi dei dati molecolari relativi alle indagini effettuate sui campioni tissutali, comporta anche il trattamento dei dati genetici.
A tale riguardo, il Garante ritiene che l’Azienda, in sede istruttoria, abbia previsto specifiche misure per la custodia e la sicurezza degli stessi e dei campioni biologici oggetto di trattamento per il perseguimento degli obiettivi dello Studio e che le predette misure siano conformi alle Prescrizioni relative al trattamento dei dati genetici. In particolare, l’Azienda ha implementato adeguate misure, come descritte nel precedente paragrafo 1), volte a garantire che:

- l’accesso ai locali avvenga secondo una documentata procedura, che preveda l’identificazione delle persone, preventivamente autorizzate (punto 4.2, lett. a);

- la conservazione, l’utilizzo e il trasporto dei campioni biologici siano posti in essere con modalità volte anche a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità (punto 4.2, lett. b));

- la consultazione dei dati genetici trattati con strumenti elettronici sia consentita previa adozione di sistemi di autenticazione (punto 4.2, lett. d)).

Tuttavia, si osserva che di tali misure non è fatto cenno nella valutazione di impatto. Pertanto si ritiene necessario che l’Azienda integri tale documento con una sezione dedicata al trattamento dei dati genetici e alle specifiche misure implementate per ridurre i rischi connessi all’uso di tali dati, conformemente al quadro normativo vigente.

Le Prescrizioni del Garante relative al trattamento dei dati genetici introducono inoltre ulteriori condizioni anche in relazione agli oneri informativi, prevendo che, in aggiunta a quanto disposto dagli articoli 13 e 14 del Regolamento, nelle informazioni da fornire agli interessati siano evidenziate, tra le altre cose: […] a) i risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici; b) la facoltà o meno, per l’interessato, di limitare l’ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici, nonché l’eventuale utilizzo di tali dati per ulteriori scopi (punto 4.3) e […] . “b) le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca” (punto 4.11.1).

Nonostante l’Azienda, in sede istruttoria abbia dichiarato che “Nel consenso informato è già previsto che il partecipante sarà informato se dalle indagini previste dallo studio emergessero risultati "inattesi" o "incidentali", quali la presenza di altre malattie oltre a quella già nota o la predisposizione a svilupparle. In questo caso l'individuo sarà messo in grado di decidere se desidera esserne informato in ogni caso o solo quando ciò possa comportagli possibili benefici in termini di terapia o prevenzione, oppure possa essergli utile ai fini della scelta riproduttiva”, si rileva che tali elementi, oltre agli ulteriori sopra richiamati, non risultano indicati nei documenti informativi anche da ultimo predisposti dall’Azienda, con ciò determinandosi l’inadeguatezza delle richiamate informative ad assicurare la piena autodeterminazione informativa degli interessati

Si ritiene pertanto necessario che tali atti siano integrati rappresentando chiaramente la natura dei dati trattati, ossia non solo dati sulla salute ma anche genetici, fornendo agli interessati le richiamate indicazioni (punti 4.3 e 4.11.1 delle Prescrizioni sul trattamento dei dati genetici).

3.5. Ulteriori condizioni per l’anonimizzazione e l’aggregazione dei dati in occasione della loro diffusione o conservazione

L’Azienda ha dichiarato ai sensi dell’art. 168 del Codice che “Al termine dello studio, i risultati saranno presentati e diffusi solo in forma aggregata e tramite i valori di gruppo rilevati dalle analisi statistiche effettuati (media, mediana, sopravvivenza, ecc.)”.

L’Azienda inoltre non ha specificato quale sia la sorte dei dati personali al termine del periodo di conservazione, indicato in 5 anni dalla conclusione dello Studio, ovvero se i predetti dati saranno cancellati o anonimizzati.

A tale riguardo, si evidenzia come il Garante abbia più volte rappresentato che le tecniche di anonimizzazione/aggregazione dei dati devono essere idonee a scongiurare ipotesi di single-out e il rischio di re-identificazione dei pazienti, in caso di condivisione dei dati con la comunità scientifica ovvero di diffusione o di conservazione degli stessi al termine del periodo di conservazione di 5 anni dalla conclusione dello Studio. Si ritiene pertanto necessario che l’Azienda implementi tecniche di anonimizzazione e aggregazione dei dati che prevedano l’introduzione di adeguati elementi atti a prevenire  singolarità e il rischio di re-identificazione degli interessati,  e rimuova ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche, tenga  traccia di tali eventi, e ripeta in tale circostanza la valutazione del rischio di re-identificazione alla luce delle cause che hanno determinato l’insorgenza di tale singolarità (cfr. sul punto, tra gli altri i Pareri del 30 giugno 2022, doc. web 9791886 e del 7 marzo 2023, doc. web n. 9875254).

A tale riguardo, il Garante rileva come nella documentazione trasmessa e in particolare nella valutazione d’impatto tali misure non vengano indicate e ritiene pertanto necessario che essa venga integrata in tal senso.

3.6. Le misure di sicurezza implementate

L’Azienda, quale titolare del trattamento, come sopra richiamato e come richiesto dalla procedura ex artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la Vip connessa ai trattamenti necessari per la realizzazione dello Studio nella quale sono individuate in particolare le misure tecniche e organizzative sinteticamente descritte nel paragrafo 1, previste per la sicurezza dei dati trattati.

Deve notarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Da tale documento, oltre a quanto evidenziato nel precedente paragrafo 1, emerge che l’Azienda, al fine di garantire il rispetto del principio di integrità e riservatezza, abbia individuato, nel suo insieme, misure tecniche e organizzative idonee ad assicurare adeguata tutela ai diritti e alle libertà fondamentali degli interessati.

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto anche conto della modifica normativa medio tempore intervenuta dell’art. 110 del Codice il Garante ritiene di esprimere parere favorevole condizionato in relazione allo Studio in esame.

TUTTO CIO’ PREMESSO IL GARANTE

esprime alla Azienda Ospedaliera Universitaria Careggi, con sede legale in Largo G.A. Brambilla, 3 - 50134 Firenze, C.F. e P.I.: 04612750481, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti ai pazienti deceduti o non contattabili arruolati nello studio osservazionale, retrospettivo, monocentrico e no-profit “Tumore Fibroso Solitario: fattori prognostici fra valutazione istopatologica e nuovi approcci di diagnostica biomolecolare (22803)”  ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, a condizione che:

a) preveda che, una volta completata la raccolta dei dati dei pazienti arruolati sul foglio excel, esso sia firmato digitalmente attraverso un hash e che la firma sia detenuta da un soggetto diverso da quello addetto alla raccolta dei dati e, se del caso, all’occorrenza ripetuta (punto 3.3);

b) integri la valutazione d’impatto con una specifica sezione dedicata al trattamento dei dati genetici recante l’indicazione delle relative misure implementate, alla luce dei rischi considerati conformemente allo specifico quadro normativo vigente (punto 3.4);

c) integri le informative rese ai sensi degli artt. 13 e 14 del Regolamento facendo espresso riferimento al trattamento dei dati genetici e agli elementi previsti ai punti 4.3 e 4.11.1 delle Prescrizioni sul trattamento dei dati genetici (punto 3.4);

d) in caso di condivisione dei dati con la comunità scientifica ovvero di diffusione o di conservazione degli stessi al termine del periodo di conservazione di 5 anni dalla conclusione dello Studio, implementi tecniche di anonimizzazione e aggregazione dei dati che prevedano l’introduzione di adeguati elementi atti a scongiurare singolarità e il rischio di re-identificazione degli interessati (punto 3.5);

e) si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche, a tenere traccia di tali eventi e a ripetere in tale circostanza la valutazione del rischio di re-identificazione alla luce delle cause che hanno determinato l’insorgenza di tale singolarità (punto 3.5).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 aprile 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei