[doc. web n. 10057629]

Provvedimento del 17 luglio 2024

Registro dei provvedimenti
n. 473 del 17 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTI gli artt. 110 comma 1, prima parte e 110 -bis, comma 4, del Codice, in materia di ricerca medica, biomedica e epidemiologica;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. L’attività ispettiva

L’Ufficio del Garante, nei giorni XX e XX, ha effettuato gli accertamenti ispettivi di cui all’ordine di servizio n. XX, del XX presso l’Istituto Tumori Giovanni Paolo II di Bari, Istituto di ricovero a cura a carattere scientifico - IRCCS (di seguito “Istituto” o “IRCCS”) al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali in ordine ai trattamenti svolti per scopi di ricerca scientifica in campo medico, biomedico ed epidemiologico - (art. 58, par. 1, lett. a), e) ed f) del Regolamento, artt. 157 e 158 del Codice, artt. 21 e 22 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali).

Nell’ambito di tale attività ispettiva, l’Ufficio del Garante si è soffermato sulla verifica dell’effettiva applicazione dei principi di liceità del trattamento, correttezza e trasparenza, limitazione della conservazione, di accountability, di privacy by design e by defualt, nonché dell’obbligo di svolgere la valutazione di impatto (artt. 5, par. 1, let. a), c), e), 13, 14, 25, 32, e art. 110-bis comma 4 del Codice), anche con riferimento a due specifici studi clinici:

- 1) “Studio dei meccanismi di risposta e di resistenza ad immunoterapia e terapia target nel melanoma”, monocentrico, no profit retrospettivo e prospettico (di seguito, “Studio 1”, esaminato il 24 ottobre 2024);

- 2) “Studio predizione di pneumopatie in pazienti con carcinoma polmonare non a piccole cellule (NSCLC) in stadio 3 chemio radio trattati mediante tecniche di intelligenza artificiale su dati clinici e di imaging”, retrospettivo e monocentrico (di seguito, “Studio 2”, esaminato il 23 ottobre 2024).

A tale riguardo, per quel che qui rileva, è emerso quanto segue.

Nella prima giornata di accertamenti, l’Istituto ha dichiarato, in particolare, di fondare il trattamento dei dati personali necessari per la realizzazione di progetti di ricerca corrente, retrospettiva, osservazionale e monocentrica sull’“art. 110-bis, comma 4 del Codice”, e che in ogni caso, “all’accettazione del paziente per finalità di cura, viene data l’informativa” e che “laddove possibile [l’Istituto] tenta di raggiungere il paziente per l’acquisizione di un consenso specifico alla partecipazione volontaria ai singoli progetti di ricerca”.

Con specifico riferimento allo Studio 2) - l’Istituto, dopo aver chiarito che la fase di arruolamento era ancora in corso, ha confermato che, trattandosi di uno studio retrospettivo, esso viene svolto sulla base dell’art. 110-bis, comma 4 del Codice.

In relazione agli obblighi informativi, l’Istituto ha ritenuto sufficiente l’informativa generale resa in fase di accettazione del paziente per scopi assistenziali nella quale è indicato, tra le altre cose, che i dati raccolti per finalità di cura potranno essere ulteriormente trattati per fini di ricerca. In ogni caso, è stato chiarito che ai pazienti in vita, al momento dell’arruolamento, è comunque fornita l’informativa specifica predisposta per lo Studio e che non è prevista l’informativa per il trattamento dei dati dei pazienti deceduti o non contattabili.

Con specifico riferimento alla valutazione di impatto, di cui all’art. 35 del Regolamento (Vip), l’Istituto ha rappresentato che, in termini generali, essa è svolta solo per alcune tipologie di studi, che prevedono un particolare tipo di profilazione sui dati dei pazienti o se vi sono ricadute sulla cura degli stessi, attraverso trattamenti automatizzati. L’Istituto ha dichiarato, inoltre, che in relazione allo Studio 2) non è stata svolta la Vip, in quanto esso “utilizza sia dati clinici che caratteristiche estratte delle immagini radiomiche (tac di simulazione) che fanno i pazienti in radioterapia (dove il paziente ha firmato il consenso informato anche per l’ulteriore trattamento per la ricerca)”.

Con specifico riferimento al periodo di conservazione dei dati nell’ambito dello Studio 2), l’Istituto ha dichiarato che “il protocollo indica che la fase di arruolamento e lo Studio hanno una durata di 24 mesi, legata alla durata del finanziamento” e che “i dati della ricerca in formato grezzo devono rimanere disponibili in questa forma a tempo indeterminato per attività di controllo sulla scientificità dei dati, riservandosi se possibile di corroborare tale asserzione con documenti specifici”.

In relazione al flusso dei dati, l’Istituto ha dichiarato che quelli clinici sono inseriti nelle e-crf manualmente, utilizzando i dati delle cartelle cliniche cartacee, ciò in quanto la cartella clinica elettronica non è probante in quanto “potrebbe non essere completa e non rappresenta il documento medico legale di riferimento”.”.

La fase di caricamento manuale dei dati nelle e-crf “è spesso corroborata da un doppio controllo (Pi [Principal Investigator] e data manager). A ciascun paziente viene assegnato un codice progressivo, vista l’esiguità dei pazienti arruolati nello Studio 2, la lista di correlazione resta in possesso del PI in formato cartaceo. L’e-crf e la tabella di correlazione, laddove in formato elettronico, sono entrambe protette con password, criptate e conservate in due diverse partizioni”.

Anche in relazione allo Studio 1), l’Istituto, ha dichiarato che trattandosi di uno studio retrospettivo, la base giuridica del trattamento è stata individuata nell’art. 110-bis, comma 4 del Codice. In ogni caso, sia per la fase prospettica che per quella retrospettiva, se il paziente è vivo e contattabile, ne viene comunque acquisito il consenso.

Al riguardo, in termini generali è stato rappresentato che la scelta di fondare il trattamento dei dati personali sull’art. 110-bis, comma 4 del Codice o sul consenso degli interessati si basa sulla natura prospettica o retrospettiva dello studio; laddove vi sia un paziente morto o non contattabile, il trattamento si fonda sull’art. 110-bis, comma 4 del Codice. In ogni caso, se possibile, si acquisisce sempre il consenso dell’interessato, in particolare, negli studi retrospettivi.
L’Istituto con riferimento allo Studio 1), ha altresì rappresentato che il rischio residuo del trattamento è stato considerato basso e che per tale ragione, come per lo Studio 2), non è stata svolta la Vip, ai sensi dell’art. 35 del Regolamento.

In ogni caso, per tale ultimo studio è stato chiarito che “non sono stati arruolati né pazienti deceduti nè pazienti non contattabili, in quanto è stata svolta allo stato solo la fase prospettica dello Studio”.

Con specifico riferimento alla Vip è stato ulteriormente rappresentato che “essa viene predisposta per gli studi in cui il rischio rilevato dal PI in collaborazione con il DPO necessiti di tale Vip. La stessa qualora redatta viene presentata al Comitato etico. Nel caso in cui lo Studio arruoli un numero limitato di pazienti esso non viene valutato come ad alto rischio e quindi non viene predisposta la VIP”.

A tale riguardo, è stato chiarito che il medico responsabile del progetto è tenuto a compilare un allegato in cui viene descritto come vengono trattati i dati da parte dei ricercatori, (allegato B) e che sulla base di quanto indicato dal medico nel predetto allegato viene valutato se effettuare o meno la Vip.

Nell’ambito dell’attività ispettiva, l’Ufficio ha altresì acquisito numerosi documenti che recano linee guida interne contenenti indicazioni sulle misure tecniche e organizzative implementate dall’Istituto per l’applicazione della disciplina in materia di protezione dei dati personali, oltre che alcune informative predisposte per gli interessati.

Sotto un primo profilo, l’Istituto ha rappresentato che allo stato le misure di tipo organizzativo sono di gran lunga prevalenti rispetto a quelle di tipo tecnico e che il personale è stato sottoposto ad attività formative sulla protezione dei dati personali.

Con specifico riferimento alla trasparenza dei trattamenti sono stati forniti:

il modulo di informativa sul trattamento dei dati personali svolto nell’ambito delle prestazioni sanitarie, rilasciato all’accettazione del paziente presso la struttura ospedaliera, per finalità di cura, nel quale, nella sezione finalità del trattamento, sono indicate altresì “le attività di ricerca medica, biomedica ed epidemiologica” svolte sulla base dell’”art. 9, par. 2, lett. a) del RGPD (acquisizione del consenso): art. 9, lett. j) del RGPD “il trattamento è necessario a fini di ricerca scientifica sulla base del diritto dell’Unione o nazionale (nei casi di assistiti non rintracciabili o deceduti) e art. 110-bis, c.4 del d.lgs. n. 196/03”;

il modulo di consenso informato al trattamento dei dati personali, nel quale è prevista una sezione dal seguente tenore “presto il consenso all’utilizzo dei miei dati personali per scopi di ricerca nel settore ….. per finalità ………” cui seguono i due campi da compilare “si” o “no” in cui il paziente è altresì informato che “prima dell’avvio di ciascun Studio potrò essere ricontattato per rilasciare ulteriore specifico consenso per rilasciare un ulteriore specifico consenso”;

il foglio informativo e consenso informato per lo Studio 2) che reca al proprio interno una sezione denominata “informativa e manifestazione di consenso al trattamento dei dati personali”. Nella presente informativa viene riportato che “dal 25 maggio è entrato in vigore il nuovo Regolamento generale sulla protezione dei dati (GDPR) che sostituisce la deliberazione 52 del 24/7/2008 Linee guida per il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche di medicinali, al fine di descrivere più dettagliatamente i suoi diritti […]”. È inoltre indicato che “al termine dello studio i suoi dati personali saranno conservati presso il centro clinico per il periodo richiesto dalle normative vigenti”. Nella sezione “i suoi specifici diritti riguardo i suoi dati personali” viene rappresentato che l’interessato “ha il diritto di rivedere i Suoi dati personali. Tuttavia nel corso dello Studio l’accesso ai Dati personali potrebbe essere limitato per proteggere l’integrità dello Studio. Lei potrà avere accesso ai dati personali alla fine dello studio”.

È inoltre previsto che le “domande sulla raccolta e sull’utilizzo delle informazioni dovrebbero [essere chieste] al medico dello Studio. Dovrebbe informarlo anche se Lei desidera esercitare i Suoi diritti su tali informazioni; ad esempio se lei decide di correggere alcuni dati personali o di ritirare il consenso”. È poi prevista la sezione in cui l’interessato presta il proprio consenso al trattamento dei dati personali per gli scopi di ricerca;

la documentazione relativa agli Studi 1) e 2): protocollo dello studio, foglio informativo e consenso informato recante una specifica sezione relativa all’informativa privacy e al consenso al trattamento dei dati personali e l’Allegato B, compilato dal Medico responsabile del progetto.

L’Istituto ha poi trasmesso ulteriore documentazione relativa alla “conservazione dei dati della ricerca in formato grezzo per attività di controllo sulla scientificità dei dati” (nota del XX).

Al riguardo, l’Istituto ha dichiarato in particolare che:

“I dati della ricerca "raw data" (dati numerici, simboli, testi, immagini etc.), utilizzati come fonti primarie della ricerca scientifica necessari per convalidare i risultati della stessa ricerca, sono conservati con adeguate misure tecniche ed organizzative di sicurezza ed opportune tecniche di pseudonimizzazione/anonimizzazione”.

Nell'ambito delle sperimentazioni cliniche di medicinali per uso umano (Reg. 536/14) è osservato il periodo di conservazione dei dati per 25 anni.

In generale, per ciascun progetto di ricerca è definito il periodo di conservazione dei dati, considerando che questo IRCCS, qualora al termine dello Studio dovesse ritenere opportuno non cancellare i dati archiviati in quanto ritenuti patrimonio di interesse per la ricerca scientifica (secondary use ex art. 110-bis c.4 del Codice), gli stessi, ai sensi dell’art. 5 del Regolamento UE 2016/679, potranno essere conservati per un periodo più lungo, conformemente alle prescrizioni di cui all’art. 89 del GDPR;

Le variazioni dei tempi di conservazione dei dati personali nell'ambito della ricerca sono sempre oggetto di massima trasparenza informativa (ex artt. 13-14 del GDPR).

2. Violazioni contestate

Sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva nonché delle successive valutazioni svolte, l’Ufficio -con atto del XX (prot. n. XX), che qui deve intendersi integralmente riprodotto- ha avviato, ai sensi dell’art. 166, comma 5 del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti dell’Istituto, invitandolo a produrre al Garante scritti difensivi o documenti e a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto, l’Ufficio ha notificato all’Istituto che risulta accertato che i trattamenti di dati personali dallo stesso svolti per scopi di ricerca in campo medico, biomedico ed epidemiologico nell’ambito delle proprie linee di ricerca e in particolare negli Studi 1) e 2), sono stati effettuati in violazione:

1. degli artt. 5, par. 1, lett. a) e 9, par. 2 lett. j) del Regolamento, 110 e 110-bis, comma 4 del Codice;

2. dell’art. 35 del Regolamento;

3. degli artt. 12, 13 e 14, par. 5 lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche;

4. dell’art. 5, par. 1, lett. e) del Regolamento;

5. degli artt. 5, par. 2, e 25 del Regolamento.

Più nello specifico rispetto a ciascuna delle richiamate violazioni l’Ufficio ha rilevato quanto segue.

2.1. Sul principio di liceità e sulle basi giuridiche del trattamento

In relazione ai trattamenti di dati personali sulla salute, ivi inclusi se del caso quelli genetici, per scopi di ricerca scientifica effettuati dall’Istituto nelle linee di ricerca autorizzate dal Ministero della salute e in particolare per quelli analizzati in sede ispettiva -Studio 1) e Studio 2)-, come sopra evidenziato, la base giuridica è stata individuata nell’art. 110-bis, comma 4 del Codice, salva l’acquisizione di un consenso nel caso in cui il paziente sia in vita e contattabile (presente nei moduli di consenso informato dei predetti Studi) e salvo, inoltre, il consenso acquisito in ogni caso in occasione delle prestazioni sanitarie.

Al riguardo, l’Ufficio del Garante ha ritenuto che in termini generali vi sia una conoscenza parziale da parte dell’Istituto delle condizioni di liceità relative ai trattamenti di dati personali sulla salute e genetici per scopi di ricerca medica, biomedica e epidemiologica, che, inevitabilmente, si riflette nella loro applicazione, nello svolgimento dei correlati adempimenti e nelle informative per gli interessati.

L’Istituto, infatti, da una parte dichiara e rappresenta agli interessati in fase di accettazione presso la struttura ospedaliera che l’ulteriore trattamento dei dati raccolti per finalità di cura svolto a fini di ricerca, si fonda sull’art. 110-bis, comma 4 del Codice, dall’altra omette sistematicamente di provvedere allo svolgimento e alla pubblicazione della valutazione di impatto (adempimenti obbligatori nel caso di specie, secondo la ricostruzione normativa indicata nel successivo paragrafo 3  e già illustrata all’Istituto con note del XX, prot. n. XX e del XX, prot. n. XX).

L’Istituto, tuttavia, al contempo ha dichiarato e comprovato che il predetto trattamento si fonda altresì sul consenso degli interessati (laddove materialmente possibile acquisirlo) raccolto in fase di accettazione e successivamente anche in occasione dell’arruolamento dei pazienti negli specifici progetti di ricerca.

Su tali basi, in relazione alla raccolta e al successivo trattamento dei dati dei pazienti deceduti e non contattabili arruolati esclusivamente nello Studio 2), atteso che in sede ispettiva è stato dichiarato che l’arruolamento era in corso, è stato contestato all’Istituto il mancato adempimento dell’obbligo di svolgere e pubblicare la Vip in violazione degli artt. 110 prima parte del comma 1 e 110-bis, comma 4 del Codice (art. 166, comma 2 del Codice).

Medesima contestazione non è stata mossa in relazione allo Studio 1) in quanto è stato dichiarato che “non sono stati arruolati né pazienti deceduti né pazienti non contattabili, in quanto è stata svolta allo stato solo la fase prospettica dello Studio”,

E stata contestata altresì la violazione del principio di liceità, di cui all’art. 5, par. 1, lett. a) del Regolamento, in relazione ai trattamenti di dati personali relativi ai soggetti deceduti o non contattabili arruolati negli studi retrospettivi svolti dall’Istituto nell’ambito delle proprie linee di ricerca, nella misura in cui quest’ultimo, quale titolare, ha sistematicamente omesso di svolgere e pubblicare la Vip, adempimenti in tal caso obbligatori, ai sensi degli artt. 9, par. 2 lett. j) del Regolamento, 110, comma 1, prima parte e 110-bis comma 4 del Codice.

Dagli accertamenti svolti è emerso, inoltre, che l’Istituto, con particolare riferimento al trattamento dei dati personali dei pazienti contattabili per scopi di ricerca in campo medico, biomedico e epidemiologico, raccoglie due differenti consensi , il primo dei quali viene acquisito in occasione delle prestazioni sanitarie e sembrerebbe volto ad autorizzare il trattamento dei dati per scopi di ricerca medica in determinati settori, salva la possibilità di acquisire un consenso ulteriore rispetto a specifici progetti.

Al riguardo, l’Ufficio ha rilevato l’inidoneità di tale manifestazione di volontà in particolare in punto di specificità, a consentire i richiamati trattamenti in quanto il settore della ricerca scientifica da indicarsi nel modulo di consenso, si limita a individuare macro finalità della ricerca stessa e non uno specifico progetto.

Inoltre, tale consenso non essendo preceduto da un’informativa completa quanto meno dei suoi elementi essenziali sarebbe in radice viziato sotto il profilo della specificità e determinatezza (artt. 13 del Regolamento; cfr. punti 23 e ss. delle Linee guida sulla trasparenza ai sensi del regolamento 2016/679, adottate il 29 novembre 2017, Versione emendata adottata l’11 aprile 2018).

Tale raccolta di consenso è stata considerata pertanto in contrasto con i principi di trasparenza e di correttezza di cui all’art. 5, par. 1, lett. a) del Regolamento in quanto, seppur in concreto il successivo trattamento di dati per scopi di ricerca scientifica si basa su una nuova manifestazione di consenso oppure sull’art. 110-bis comma 4 del Codice, essa è stata considerata atta a ingenerare negli interessati confusione in ordine alla sorte dei propri dati, in violazione del principio di autodeterminazione informativa e dunque di correttezza e trasparenza.

2.2. Sulla valutazione di impatto

Con riferimento alla necessità di svolgere una preventiva Vip sui trattamenti dei dati personali per scopi di ricerca medica, l’Istituto ha dichiarato di compiere tale adempimento solo quando lo studio prevede un particolare tipo di profilazione sui dati dei pazienti o se vi sono ricadute sulla loro cura attraverso trattamenti automatizzati, sulla base della valutazione svolta dal trial office/PI riportata nel sopra richiamato documento denominato Allegato B) acquisito agli atti del procedimento. Il documento non contiene l’esame e la valutazione dei rischi connessi ai trattamenti ma solo una descrizione di alcuni aspetti degli stessi tra cui, in particolare, i tipi di dati raccolti, la base giuridica del trattamento e alcune generiche misure tecniche e organizzative.

Al riguardo, l’Ufficio ha rilevato come l’Istituto circoscriva lo svolgimento della valutazione d’impatto ad un numero di casi di gran lunga inferiore a quelli per i quali esso, quand’anche non richiesto dalla legge ai sensi del combinato disposto degli artt. 110 e 110-bis comma 4 del Codice, sia comunque necessario ai sensi dell’art. 35 del Regolamento.

Tenuto conto che, in termini generali, per la realizzazione di studi clinici in campo medico, biomedico e epidemiologico, il promotore in qualità di titolare tratta dati sulla salute (e se del caso anche quelli genetici, quelli idonei a rilevare l’origine razziale ed etnica, o relativi alla vita e all’orientamento sessuale) riferiti a soggetti vulnerabili, quali sono i pazienti e/o i minori, si osserva come in tali casi il mancato preventivo svolgimento della Vip debba essere considerato come eccezionale e comunque andrebbe diffusamente motivato (pag. 13 delle Linee guida del 4 ottobre 2017, cit.), in omaggio al principio di responsabilizzazione, laddove la regola dovrebbe invece essere quella di compiere tale adempimento.

Su tali basi, è stato rilevato come l’Istituto non tenga in debita considerazione la centralità dell’approccio basato sul rischio imposto dal Regolamento, omettendo come regola di carattere generale e in particolare in riferimento ai dati dei pazienti arruolati o che si intendono arruolare negli Studi 1) e 2), di svolgere la Vip, in violazione dell’art. 35 del Regolamento.

2.3 Sul principio di trasparenza e sull’obbligo di rendere l’informativa agli interessati

L’Istituto ha dichiarato di fornire ai pazienti un’informativa sul trattamento dei dati di carattere generale in occasione della loro accettazione presso la struttura ospedaliera per motivi di cura, allegandone una copia, e poi di rendere agli interessati arruolati negli studi clinici un’ulteriore specifica informativa in ordine al relativo trattamento, fornendo copia di quelle relative agli Studi 1) e 2).

La prima informativa riguarda il trattamento di dati personali effettuati nell’ambito delle prestazioni sanitarie offerte dall’Istituto.

L’Ufficio ne ha rilevato l’incompletezza in relazione ad alcuni elementi di cui all’art. 13 del Regolamento.

Attraverso tale informativa, in ogni caso, l’Istituto anticipa agli interessati che i dati raccolti per scopi di cura potranno essere ulteriormente trattati per scopi di ricerca, ai sensi dell’art. 110-bis, comma 4 del Codice ovvero sulla base del relativo consenso ai sensi dell’art. 9, par. 1, lett. a) del Regolamento.

Ciò non esime tuttavia il titolare dal dovere di renderne una specifica rispetto ad ogni singolo progetto di ricerca, quanto meno per fornire le informazioni differenti rispetto a quelle già rese note agli interessati (artt. 13, comma 3 e 14, par. 5, lett. b) del Regolamento).

Tale ulteriore informativa tuttavia, per i soggetti deceduti o non contattabili, sistematicamente non viene resa, in violazione dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche. L’Istituto ha infatti dichiarato che, per tali pazienti, l’informativa è quella resa in occasione dell’accettazione del paziente presso la propria struttura per la fornitura delle prestazioni sanitarie.

Invero, si ribadisce che il titolare del trattamento ha l’obbligo di rendere preventivamente le informazioni direttamente agli interessati se possibile, ovvero attraverso la loro pubblicazione qualora questi dovessero risultare deceduti o non contattabili (art. 14, par. 5, lett. b) del Regolamento e art. 6, comma 3 delle Regole deontologiche).

È stato rilevato, altresì, che le informative sul trattamento dei dati personali relative agli Studi 1) e 2) predisposte per i soggetti contattabili, sono risultate del tutto analoghe nel loro contenuto e erronee e incomplete nella parte in cui:

è indicato che a seguito dell’entrata in vigore del Regolamento esso avrebbe sostituito la deliberazione 52 del 24/7/2008 recante le “Linee guida per il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche di medicinali, al fine di descrivere più dettagliatamente i suoi diritti […]”; persiste infatti la vigenza delle predette linee guida laddove compatibili con il Regolamento;

non indicano chiaramente le basi giuridiche del trattamento (art. 13, par. 1, lett. c) del Regolamento);

non indicano il periodo di conservazione dei dati personali né i criteri utilizzati per determinarlo (art. 13, par. 2, lett. a) del Regolamento), nonostante, per altro, l’Istituto abbia dichiarato sul punto che “Le variazioni dei tempi di conservazione dei dati personali nell'ambito della ricerca sono sempre oggetto di massima trasparenza informativa (ex artt. 13-14 del GDPR; cfr. nota dell’Istituto del XX)”;

non sono chiaramente rappresentati i diritti degli interessati e la facoltà di revoca del consenso;

è prevista la possibilità di esercitare l’accesso ai dati solo al termine dello Studio. Tale limitazione infatti non risulta prevista dal quadro normativo vigente (cfr. anche le “Guidelines 01/2022 on data subject rights - Right of access”, Version 1.0, Adopted on 18 January 2022).

In considerazione di quanto sopra, l’Ufficio ha quindi contestato la violazione dell’obbligo di rendere preventivamente agli interessati contattabili informazioni chiare, complete e facilmente intellegibili in relazione ai trattamenti di dati personali necessari per la realizzazione degli Studi 1) e 2), in violazione degli artt. 12 e 13 del Regolamento.

È stata contesta, inoltre, la violazione dell’obbligo di rendere pubbliche le informazioni sul trattamento dei dati personali riferiti ai soggetti deceduti e non contattabili arruolati nello Studio 2), in violazione dell’art. 14, par. 5 lett. b) del Regolamento e dell’art. 6, comma 3 delle regole deontologiche.

Infine, per le ragioni sopra esposte, è stata rilevata la violazione da parte dell’Istituto del principio di trasparenza, tenuto conto della predisposizione di moduli informativi incompleti e o erronei, della totale assenza di misure organizzative o di una specifica policy per rendere pubbliche le informazioni sul trattamento per scopi di ricerca dei dati personali degli interessati deceduti o non contattabili (art. 5, par. 1, lett. a) del Regolamento).

2.4. Sulla limitazione della conservazione dei dati

In sede di accertamento ispettivo è emerso infine, da una parte, che nelle informative rese agli interessati in fase di accettazione presso la struttura ospedaliera è indicato che il tempo di conservazione dei dati trattati per scopi di ricerca dovrebbe essere indicato nei relativi protocolli, dall’altra, che non solo questo tempo non è definito (quanto meno nei protocolli relativi agli Studi 1 e 2 e neppure nei documenti informativi indirizzati agli interessati) ma non sono neanche indicati i criteri per la loro relativa determinazione. I predetti termini non risultano neppure definiti nelle “Linee guida privacy per il trattamento dei dati personali a scopo di ricerca scientifica”.

Al riguardo, la disciplina in materia di protezione dei dati personali in nessun caso esime il titolare del trattamento dall’obbligo definire il periodo di conservazione dei dati o un criterio all’uopo idoneo, in particolare al fine di potersi adempiere agli specifici obblighi di trasparenza previsti nei confronti degli interessati. Pertanto, è risultato accertato che l’Istituto tratta i dati personali per scopi di ricerca scientifica in violazione del principio di limitazione della conservazione dei dati di cui all’art. 5, par. 1, lett. e) del Regolamento.

2.5. Sul Principio di accountability e di privacy by design e by default

Per tutto quanto già rilevato, è risultata altresì accertata la violazione dei principi di responsabilizzazione e di privacy by design di cui agli artt. 5, par. 2 e 25 del Regolamento, non avendo il titolare del trattamento, in termini generali, dimostrato una condotta attiva volta a garantire fin dalla progettazione e per impostazione predefinita l’effettiva applicazione dei principi di protezione dei dati personali (in particolare, di quelli di liceità, correttezza e trasparenza e di limitazione della conservazione dei dati) attraverso l’implementazione e il constante riesame e aggiornamento di misure specifiche, adeguate e misurabili anche in relazione al particolare contesto in cui si svolgono le operazioni di trattamento esaminate e ai correlati rischi per i diritti e le libertà degli interessati.

L’Istituto ha prodotto infatti una copiosa documentazione predisposta in ambito privacy, con particolare riferimento alle deliberazioni del Direttore generale con le quali sono stati approvati il “Regolamento per la protezione dei dati personali delle persone fisiche, in osservanza del Regolamento UE 2016/679 (RGPD)” e le “Linee guida privacy per il trattamento dei dati personali a scopo di ricerca scientifica” (delibera 1100 del 27 dicembre 2019).

Al riguardo, è stato inoltre osservato come i predetti documenti possano essere considerati quali mere misure di tipo organizzativo, più formali che sostanziali, e di per sé sole inefficaci se non corroborate da ulteriori misure tecniche e organizzative individuate in relazione agli specifici trattamenti effettuati dal titolare e proporzionate all’obiettivo di tutela che si intente in concreto perseguire.

Nel merito, inoltre nei richiamati documenti sono emerse indicazioni inesatte o quanto meno incomplete, ad esempio in relazione ai tempi di conservazione o all’ulteriore trattamento per scopi di ricerca scientifica dei dati personali raccolti per finalità di cura -per il quale non viene fatto alcun riferimento all’art. 110-bis, comma 4 del Codice, quale base giuridica del trattamento, né agli specifici adempimenti richiesti dal titolare, (quali lo svolgimento e la pubblicazione della Vip).

La carenza di adeguate misure tecniche di sicurezza è stata d’altro canto confermata dallo stesso titolare che in sede istruttoria ha dichiarato che “allo stato le misure di tipo organizzativo sono di gran lunga prevalenti rispetto a quelle di tipo tecnico e si riserva di fornirne prova dell’attività di formazione svolta”.

Sul punto è stata rilevata, in particolare, l’assenza di misure tecniche adeguate ad assicurare by design l’esattezza dei dati in fase di raccolta degli stessi per il perseguimento di ulteriori scopi di ricerca nell’ambito di studi monocentrici. Come sopra evidenziato, infatti, la fase di caricamento dei dati nelle e-crf è manuale seppure “spesso corroborata da un doppio controllo (Pi e data manager)”.

È stato rilevato, inoltre, come nonostante le Linee guida privacy per il trattamento dei dati personali a scopo di ricerca scientifica adottate dall’Istituto prevedano espressamente che allo “start up” di ciascun progetto di ricerca venga effettuato un audit di verifica di conformità alle stesse da parte di una commissione, non è stato possibile acquisire nel corso degli accertamenti ispettivi gli audit report svolti sugli Studi 1) e 2).

Per tutto quanto sopra osservato, è stata rilevata la mancata effettiva applicazione da parte dell’Istituto del principio di responsabilizzazione e degli obblighi di protezione dei dati personali by design, in violazione degli artt. 5, par. 2 e 25 del Regolamento).

3. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento e del Codice, delle Prescrizioni relative al trattamento dei dati genetici (se necessario) e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (doc. web n. 9124510) nonché delle Regole deontologiche (doc. web n. 9069637) che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

In base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza» (art. 5, par. 1, lett. a) del Regolamento).

Il principio di liceità richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il consenso dell’interessato.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Con specifico riferimento alle particolari categorie di dati, il consenso, deve essere anche manifestato per iscritto (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche).

Sul punto, si osserva, che il Comitato europeo per la protezione dei dati ha ribadito come “la nozione di ricerca non possa essere estesa oltre il suo significato comune e che per “ricerca scientifica” in questo contesto si intenda un progetto di ricerca istituito in conformità con le pertinenti norme metodologiche e deontologiche settoriali, in linea con le buone prassi”, con ciò confermando come in tale settore lo scopo del trattamento vada individuato nello specifico progetto di ricerca che si intende realizzare (Linee guida 5/2020 sul consenso cit.; “A preliminary Opinion on scientific research” del Garante europeo, cit.).

Senza inficiare gli obblighi relativi al consenso, il considerando 33 del Regolamento riconosce che “In molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista”. Esso pertanto, in circostanze residuali, ammette che gli interessati possano prestare un consenso a fasi progressive per il trattamento dei dati personali per scopi di ricerca scientifica, quando al momento della raccolta non è possibile individuare pienamente le specifiche finalità del trattamento. Ciò, tenuto conto che, anche in relazione ai trattamenti in esame, non è possibile derogare al requisito della specificità e granularità del consenso (art. 6 e 7 del Regolamento e punto 7.2 delle Linee guida n. 5/2020 sul consenso cit.).

In tal caso, pertanto il titolare del trattamento è tenuto successivamente a definire uno o più specifici progetti di ricerca in conformità alle regole etiche e metodologiche di settore e integrare le manifestazioni di volontà degli interessati già raccolte, con specifici consensi per giungere, in via progressiva ad ottenere un presupposto giuridico idoneo al trattamento dei dati per scopi di ricerca scientifica (artt. 5, par. 1 lett. a) 6, 7 e 9 del Regolamento; Linee guida 5/2020 sul consenso, cit.; cfr. anche “A Preliminary Opinion on data protection and scientific research”, del Garante europeo, del 6 gennaio 2020; ”Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research” adottate dal Comitato europeo per la protezione dei dati, il 2 febbraio 2021), ovvero, laddove si trovi in una delle condizioni di cui all’art. 110 del Codice e al punto 5.3 delle Prescrizioni, svolgere gli adempimenti di cui all’art. 110 del Codice come modificato dall’art. 44, comma 1-bis del decreto-legge 2 marzo 2024, n. 19, convertito con legge 29 aprile 2024, n. 56 e indicati dal Garante nella deliberazione di promovimento delle nuove regole deontologiche per il trattamento dei dati per scopi statistici e di ricerca scientifica ( (provv. del del 9 maggio 2024 doc. web 10016146).

Per quel che qui rileva, si segnala, inoltre che il perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, è ammesso previa acquisizione del consenso dell'interessato. “Il consenso non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento” (art. 110 del Codice, , art. 9, par. 2, lett. j) e par. 4 del Regolamento).

Con specifico riferimento al trattamento dei dati personali per scopi di ricerca scientifica effettuato dagli IRCCS, si ribadisce in questa sede, come già evidenziato con la nota del XX, prot. n. XX, che rileva l’art. 110-bis, comma 4, del Codice, secondo cui “Non costituisce trattamento ulteriore da parte di terzi il trattamento dei dati personali raccolti per l’attività clinica, a fini di ricerca, da parte degli Istituti di ricovero e cura a carattere scientifico, pubblici e privati, in ragione del carattere strumentale dell’attività di assistenza sanitaria svolta dai predetti istituti rispetto alla ricerca, nell'osservanza di quanto previsto dall'articolo 89 del Regolamento”.

L’art. 110-bis, comma 4 del Codice, va letto in combinato disposto con la disciplina di settore degli IRCCS di cui, in particolare, al d.lgs. 16 ottobre 2003, n. 288 e (ss.mm.ii) recante “Riordino della disciplina degli Istituti di ricovero e cura a carattere scientifico” che individua misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (cfr. in particolare art. 8, comma 5-bis del d.lgs. n. 288 del 2003).

Ne consegue che l’art. 110 -bis, comma 4 del Codice, offre agli IRCCS una specifica base normativa, in forza della quale, ai sensi dell’art. 9, par. 2, lett. j) del Regolamento questi possono trattare i dati raccolti per finalità di cura anche per ulteriori finalità di ricerca scientifica in campo medico, biomedico epidemiologico senza la necessità di acquisire un preventivo consenso da parte dei pazienti

L’art. 110-bis, comma 4 del Codice, costituisce pertanto una di quelle “disposizioni di legge” alle quali fa riferimento l’art. 110 (prima parte del primo comma,) del Codice, che prescrive quale ulteriore adempimento per il trattamento dei dati per scopi di ricerca in campo medico, biomedico e epidemiologico, effettuati ai sensi dell’art. 9, par. 2, lett. j) del Regolamento, lo svolgimento e la pubblicazione della valutazione d’impatto, ai sensi dell’art. 35 del Regolamento (cfr. faq sui presupposti giuridici e principali adempimenti per il trattamento da parte degli IRCCS dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca del 6 maggio 2024, doc. web n. 10024215).

Resta in ogni caso fermo il principio di alternatività delle basi giuridiche, pertanto, in attuazione del principio di liceità, spetta al titolare, individuare rispetto ad ogni singolo Studio tra le diverse condizioni di liceità previste agli artt. 6 e 9, par. 2 del Regolamento quella in concreto più appropriata, corrispondente all’obiettivo e all’essenza del trattamento e conseguentemente indicarla nella valutazione d’impatto e nell’informativa predisposta per gli interessati, tenuto anche conto delle differenti implicazioni che ciascuna di esse può avere sui diritti spettanti agli interessati (artt. 15-22 del Regolamento).

I principi di trasparenza e correttezza implicano che l'interessato sia preventivamente informato dell'esistenza del trattamento e delle sue finalità fornendo, in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14 del Regolamento, in caso di dati raccolti presso soggetti terzi (considerando 58 e 60 e artt. 5, par. 1, lett. a) e 12 del Regolamento).

Si evidenzia, in particolare, che la richiamata normativa prevede che, qualora i dati siano precedentemente raccolti per altri scopi, come nel caso in esame, il titolare del trattamento prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente (art. 13, par. 4 del Regolamento).

In ogni caso, in relazione a dati non raccolti presso gli interessati, il titolare può non rendere le informazioni, nella misura in cui comunicarle risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento e l’adozione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento e art. 6, comma 3 delle Regola deontologiche).

Rileva, poi, il principio di limitazione della conservazione dei dati che impone che essi siano “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e) del Regolamento).

Tra i principi applicabili al trattamento stabiliti all’art. 5 del Regolamento, merita in questa sede evidenziarsi quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento).

Ad esso si collega il dovere di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Il requisito di cui all’articolo 25 del Regolamento obbliga i titolari a provvedere affinché la protezione dei dati sia integrata nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento.

Il Regolamento prevede, inoltre, che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi” (art. 35; Gruppo art. 29 Linee-guida n. 248 concernenti "La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento" adottate in forma emendata il 4.10.2017).

In particolare, la valutazione di impatto è necessaria tutte le volte in cui i trattamenti possano presentare un alto rischio per i diritti e le libertà delle persone fisiche, intendendosi per tali in particolare quelli che prevedono: i) la valutazione o assegnazione di un punteggio; ii) il processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sull’interessato; iii) il monitoraggio sistematico; iv) il trattamento dati sensibili o dati aventi carattere altamente personale; v) il trattamento di dati su larga scala; vi) la creazione di corrispondenze o combinazione di insiemi di dati; vii) il trattamento di dati relativi a interessati vulnerabili; viii) l’uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative; ix) trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. In particolare, il Comitato europeo per la protezione dei dati ritiene che la Vip debba essere certamente svolta tutte le volte che ricorrono contestualmente almeno due dei richiamati criteri (parte III, lett. B) delle richiamate Linee guida).

4. Le memorie difensive e valutazioni del Garante

Con nota del XX (prot. n.XX), l’Istituto ha fatto pervenire le proprie memorie difensive, non chiedendo di essere sentito in audizione, come previsto dall’art. 166, comma 5 del Codice.

4.1. Sul principio di liceità correttezza e trasparenza

In relazione alle contestazioni mosse dall’Ufficio del Garante, l’Istituto ha rappresentato, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, in via preliminare che “nell’ambito dei due studi, oggetto di contestazione, non era stata avviata la fase di arruolamento dei pazienti, come dichiarato a verbale […], circostanza dirimente al fine di dichiarare il carattere meramente potenziale e teorico dell’eventuale lesività delle violazioni contestate e, quindi, esimente, o quanto meno fortemente attenuante, delle violazioni contestate”.

Tale dichiarazione, confermando quanto già rappresentato in relazione allo studio 1), chiarisce altresì il senso di quanto verbalizzato all’esito degli accertamenti ispettivi del XX, durante i quali l’Istituto, in merito allo Studio 2), ha dichiarato che “[...]. Lo studio è in corso e non si è ancora completata la fase di arruolamento. Allo stato sono stati individuati potenziali 58 pazienti sia vivi che morti”.

In particolare, con riferimento alla contestazione della violazione dei principi di trasparenza e correttezza, legata alla circostanza che in fase di accettazione del paziente viene raccolto presso gli interessati un preventivo e generico consenso per finalità di ricerca, l’Istituto ha rappresentato che ha inteso raccogliere tale consenso dando attuazione al considerando 33 del Regolamento, ipotizzando una sorta di consenso a fasi progressive.

A tale riguardo, fermo quanto sopra evidenziato in relazione alla fattispecie di cui al richiamato considerando 33 del Regolamento, tenuto conto della buona fede del titolare del trattamento, che emerge diffusamente delle memorie presentate e in particolare della circostanza che, laddove possibile, prima dell’inizio dei trattamenti di dati personali per scopi di ricerca è comunque acquisito il consenso degli interessati, si ritiene superata la contestazione della violazione dei principi di trasparenza e correttezza di cui all’art. 5, par. 1, lett. a) del Regolamento.

4.2 Sulla valutazione di impatto

Con riferimento alla contestazione della violazione dell’obbligo di svolgere la Vip in relazione ai trattamenti di dati personali necessari per la realizzazione di studi clinici e in particolare di quelli esaminati in sede ispettiva (studio 1 e 2), l’Istituto si è difeso rappresentando in particolare di stare “predisponendo le attività di valutazione [di impatto] sicuramente per quelli di nuovo avvio e, comunque, anche per gli studi in itinere”.

Nel prendersi favorevolmente atto dell’impegno assunto dal titolare, si rileva tuttavia che il trattamento di dati personali relativi alla salute e se del caso genetici, riferiti a soggetti vulnerabili (quali sono i pazienti) svolti sovente attraverso combinazioni di dati o su larga scala o attraverso l’uso di nuove tecnologie (come ad esempio nello Studio 2, che prevede proprio l’utilizzo di tecniche di intelligenza artificiale per l’analisi dei dati clinici e di imaging), rientra certamente tra quelli per i quali deve essere preventivamente svolta la Vip, ai sensi dell’art. 35 del Regolamento (cfr. Linee guida n. 248 cit. parte III, lett. B). Ciò rileva anche con specifico riferimento agli studi clinici retrospettivi che l’Istituto dichiara di fondare sull’art. 110-bis, comma 4 del Codice.

Considerato, inoltre, che il documento all’esito del quale viene deciso presso l’Istituto se il trattamento è meritevole di Vip o meno non ha ad oggetto l’esame dei rischi correlati al trattamento, non sono emersi dalle memorie difensive elementi tali da superare la contestazione della violazione dell’art. 35 del Regolamento.

A tale ultimo riguardo, si segnala che la circostanza che l’Istituto non abbia avviato la fase di arruolamento dei pazienti negli Studi 1) e 2), pur potendo valere come attenuante, non è di per se sola sufficiente nel caso di specie a far cadere la violazione contestata, in quanto la Vip per sua stessa natura deve essere svolta prima dell’inizio dei trattamenti e la documentazione degli studi dimostra come l’Istituto abbia svolto delle valutazioni interne pervenendo erroneamente alla conclusione di non dover svolgere tale adempimento.

4.3 Sul principio di trasparenza e sull’obbligo di rendere l’informativa agli interessati

In riferimento alla contestazione della violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento e dell’obbligo di rendere pubbliche le informazioni sul trattamento dei dati personali riferiti ai soggetti deceduti e non contattabili arruolati nello Studio 2), di cui all’art. 14, par. 5, lett. b) del Regolamento e all’art. 6, comma 3 delle Regole deontologiche, nelle proprie memorie difensive l’Istituto ha rappresentato di averlo ritenuto “soddisfatto proprio in ragione della doppia informazione resa al paziente, di cui, una al primo accesso presso l’Istituto, l’altra all’avvio della ricerca specifica per il singolo progetto, oltre alle informazioni privacy rese anche sul sito web dell’Ente, nella pagina a tale scopo dedicata” e che “tutti gli studi retrospettivi e prospettici sono pubblicati sul sito internet aziendale, nella forma di deliberazione di presa d’atto”.

Al riguardo, pur prendendosi favorevolmente atto degli impegni assunti dall’Istituto in relazione agli oneri informativi, non si rinvengono nelle memorie presentate elementi utili a superare la contestazione della violazione del principio di trasparenza, di cui all’art. 5, par. 1, lett. a) del Regolamento, anche in relazione ai trattamenti di dati personali riferiti a soggetti deceduti e non contattabili per la sistematica omissione dell’obbligo di pubblicare l’informativa ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche.

Con riferimento, invece, all’informativa sul trattamento dati nell’ambito delle prestazioni sanitarie, è stata prodotta agli atti documentazione integrativa che comprova come quella precedente fosse incompleta, in quanto mancante dell’ultima pagina (3/3). Il testo completo contenente tutte le informazioni di cui agli artt. 13 e 14 del Reg. UE 2016/679 è stato trasmesso agli atti e risulta disponibile nell’apposita sezione Privacy del sito internet istituzionale (https://www.sanita.puglia.it/web/irccs/privacy1).

Si ritiene pertanto superata la contestazione della violazione degli artt. 12 e 13 del Regolamento in relazione alle informative rese in fase di accettazione dei pazienti.

Si rileva infine che non risultano tuttavia superate le contestazioni relative alle informative sul trattamento dei dati personali relative agli Studi 1) e 2) predisposte per i soggetti contattabili, poste in calce alla documentazione e alle informazioni propedeutiche alla raccolta del consenso informato. Esse infatti risultano erronee e incomplete secondo quanto contestato dall’Ufficio del Garante e richiamato al precedente punto 2.3.

Per tali ragioni risulta pertanto accertata la violazione da parte dell’Istituto del principio di trasparenza, tenuto conto della predisposizione di moduli informativi incompleti e o erronei e la totale assenza di misure organizzative nonché di una specifica policy per rendere pubbliche le informazioni sul trattamento per scopi di ricerca dei dati personali degli interessati deceduti o non contattabili (art. 5, par. 1, lett. a) e 13 del Regolamento).

4.4 Sulla limitazione della conservazione dei dati

Con riferimento alla contestazione della violazione del principio di limitazione della conservazione dei dati, l’Istituto ha rappresentato che “la limitazione del tempo di conservazione sarà indicata nel rispetto della legge e tenuto conto della specificità del caso, come già precisato ut supra”.
Nel prendersi favorevolmente atto “della manifesta volontà dell’Ente di rispettare le norme in tema di sanità e ricerca riguardo al corretto trattamento dei dati personali” e dell’impegno assunto in tal senso da parte dell’Istituto, risulta comunque accertata la violazione del principio di limitazione della conservazione, di cui all’art. 5, par. 1 lett. e) del Regolamento per le motivazioni sopra esposte (cfr. par. 2 o 3).

4.5 Sul Principio di accountability e di privacy by design e by default

In ordine alla contestazione della mancata effettiva applicazione da parte dell’Istituto del principio di responsabilizzazione e degli obblighi di protezione dei dati personali by design, in violazione degli artt. 5, par. 2 e 25 del Regolamento), quest’ultimo, in sede difensiva ha chiesto all’Autorità di valutare “benevolmente il sistema aziendale dell’Ente” dando evidenza di alcune specifiche azioni che si intendono intraprendere.

Su tali basi il Garante, nel prendersi atto della buona fede dell’Istituto e dell’impegno già profuso al fine di migliorare le misure tecniche e organizzative volte ad assicurare affettiva applicazione ai principi in materia di protezione dei dati personali, ritiene comunque accertata e confermata la violazione degli obblighi di protezione dei dati personali by design, in violazione degli artt. 5, par. 2 e 25 del Regolamento, per le motivazioni sopra esposte (cfr. par. 2.5).

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese ai sensi dell’art. 168 del Codice nel corso dell’istruttoria e degli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono, come sopra illustrato e motivato, di superare gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto di ricovero e cura a carattere scientifico Giovanni Paolo II di Bari in quanto in violazione degli artt. 5, par.1, lett. e), par. 2, 9, par. 2 lett. j), dell’art. 14, par. 5, lett. b) 25 e 35 del Regolamento, del Regolamento, 110, comma 1, prima parte e 110-bis, comma 4 del Codice, art. 6, comma 3 delle Regole deontologiche. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e 166 comma 2 del Codice.

6. Misure Correttive

L’art. 58, par. 2 del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personal, tra i quali quello di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (art. 58, par. 2 lett. d) del Regolamento).

Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere all’Istituto, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di adottare, entro novanta giorni dalla notifica del presente provvedimento, le seguenti misure correttive:

- di svolgere la valutazione d’impatto ai sensi dell’art. 35 del Regolamento e degli artt. 110 e 110 bis, comma 4 del Codice (par. 4.2);

- di pubblicare l’informativa in relazione ai trattamenti di dati personali riferiti a soggetti deceduti e non contattabili, ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche (par. 4.3);

- di integrare, modificare e rettificare le informative sul trattamento dei dati personali relative agli Studi 1) e 2) predisposte per i soggetti contattabili (par. 2.3 e 4.3), in particolare:

eliminando l’indicazione che a seguito dell’entrata in vigore del Regolamento, esso avrebbe sostituito la deliberazione 52 del 24/7/2008 recante le “Linee guida per il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche di medicinali, al fine di descrivere più dettagliatamente i suoi diritti […]”;

indicando chiaramente le basi giuridiche del trattamento (art. 13, par. 1, lett. c) del Regolamento);

indicando il periodo di conservazione dei dati personali ovvero i criteri utilizzati per determinarlo (art. 13, par. 2, lett. a) del Regolamento);

rappresentando chiaramente i diritti degli interessati e la facoltà di revoca del consenso;

prevedendo la possibilità di esercitare il diritto di accesso per tutta la durata del trattamento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 5, par.1, lett. e) e par. 2, dell’art. 9, par. 2, lett. j), degli artt. 13, 14, par. 5, lett. b) e degli artt. 25 e 35 del Regolamento, degli artt. 110, comma 1, prima parte e 110-bis, comma 4 del Codice e dell’art. 6, comma 3 delle Regole deontologiche commessa dall’Istituto è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento in relazione ai quali si osserva che:

- il trattamento effettuato ha riguardato, in particolare, le informazioni idonee a rilevare lo stato di salute riferiti ai pazienti arruolati negli studi clinici svolti dall’Istituto nell’ambito delle sue linee di ricerca (art. 4, par. 1, n. 13 e 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo le violazioni accertate avvenute in buona fede (art. 83, par. 2, lett. b) del Regolamento);

- non risultano, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- l’Istituto si è dimostrato collaborativo nel corso dell’accertamento ispettivo e del presente procedimento;

- pur persistendo profili di non conformità al quadro normativo vigente in materia di protezione dei dati personali sopra evidenziati, l’Istituto già ha posto in essere alcune misure correttive in relazione al trattamento dei dati personali effettuato (art. 83, par. 2, lett. c) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5, del Regolamento, nella misura di € 10.000,00 (diecimila/00) per la violazione dell’art. 5, par.1, lett. e), e par. 2, dell’art. 9, par. 2, lett. j), degli artt. 13, 14, par. 5, lett. b) e degli artt. 25 e 35 del Regolamento, degli artt. 110, comma 1, prima parte e 110-bis, comma 4 del Codice e dell’art. 6, comma 3 delle Regole deontologiche quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Istituto di Tumori "Giovanni Paolo II" I.R.C.C.S., con sede legale in Viale Orazio Flacco 65, 70124 Bari (BA) - C.F e P.I.:00727270720, per la violazione dell’art. 5, par.1, lett. e), e par. 2, dell’art. 9, par. 2, lett. j), degli artt. 13, 14, par. 5, lett. b) e degli artt. 25 e 35 del Regolamento, degli artt. 110, comma 1, prima parte e 110-bis, comma 4 del Codice e dell’art. 6, comma 3 delle Regole deontologiche nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto, di pagare la somma di € 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata. 

INGIUNGE

all’Istituto:

1. di pagare la somma di euro € 10.000,00 (diecimila/00) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

2. di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate nel paragrafo 6 del presente provvedimento, entro e non oltre il termine di 90 giorni dalla notifica del presente provvedimento, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

3. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 6) e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell’art. 166, comma 7 del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei