[doc. web n. 9960973]

Provvedimento del 26 ottobre 2023

Registro dei provvedimenti
n. 498 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO in particolare l’’art. 110 comma 1, secondo periodo del Codice relativo al trattamento di dati personali per ricerca medica, biomedica e epidemiologica;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla società Takeda Pharmaceuticals International AG, con sede in Svizzera a Thurgauerstrasse 130, 8152 Glattpark (Opfikon) (di seguito “Società”), per la realizzazione, in qualità di Promotore e titolare del trattamento, ai sensi dell’art. 24 del Regolamento, dello “Studio retrospettivo multinazionale, osservazionale, sugli esiti dell'infezione da CMV, sui modelli di trattamento e sull'utilizzo dell'assistenza sanitaria (OTUS) nei riceventi di trapianto di organi solidi (SOT, Solid Organ Transplant) in Europa e Canada (estensione OTUS SOT nei paesi EUCAN: Austria, Belgio, Canada, Grecia, Israele, Italia, Paesi Bassi, Polonia e Svezia)” (di seguito lo “Studio”);

RILEVATO che la Società unitamente all’istanza, ha trasmesso in atti il protocollo dello Studio, i pareri favorevoli dei comitati etici territorialmente competenti e ulteriore documentazione rilevante;

RILEVATO che si tratta di uno studio retrospettivo multinazionale, osservazionale, basato sulla raccolta dei dati sull’infezione da Citomegalovirus (CMV) nel contesto dei trapianti d’organi solidi (Solid organ Transplant, SOT) precedentemente registrati nelle cartelle cliniche del paziente volto a “generare evidenze riguardo la gestione del CMV in diverse regioni del mondo (Canada, Europa e Israele) e [...] capire l’impatto clinico, l’impatto sull'utilizzo delle risorse sanitarie (Impact on Healthcare Resource Utilization, HCRU) e, in ultima analisi, le aree di bisogni non soddisfatti. Esiti di particolare interesse sono quelli relativi ai pazienti SOT considerati resistenti, refrattari o intolleranti ai trattamenti anti-CMV attualmente disponibili e a quelli che hanno ricevuto un trattamento preventivo dopo il trapianto. Inoltre, questo studio integrerà uno studio precedente, ampliando l'ambito geografico, per rispondere alle esigenze dei dati local”. Nello specifico lo Studio, che prevede la raccolta di dati precedentemente documentati nelle cartelle cliniche del paziente, durante l'assistenza sanitaria di routine, si pone i seguenti obiettivi:

“Obiettivi Primari:

Descrivere gli esiti clinici dell'infezione da CMV con gli attuali modelli di gestione.

Obiettivi Secondari:

1) Descrivere i modelli di trattamento nella gestione del CMV;

2) Descrivere l'utilizzo delle risorse sanitarie correlate al CMV.”

Obiettivi esplorativi

1. Valutare la carica virale durante l'episodio indice di CMV.

2. Esplorare i fattori demografici, correlati al trapianto e clinici che sono individualmente associati agli esiti di interesse […].

3. Caratterizzare i seguenti sottogruppi di interesse riguardanti i modelli di trattamento anti-CMV e riguardanti gli esiti di interesse […]”;

RILEVATO che lo Studio prevede l’arruolamento di “pazienti (età ≥ 18 anni) che hanno avuto un'infezione da CMV dopo un Trapianto d’Organo Solido (SOT) in uno dei centri partecipanti, che sono stati precedentemente trattati con almeno un agente anti-CMV e che sono considerati resistenti, refrattari o intolleranti a un agente attualmente disponibile (coorte 1); o che hanno ricevuto una terapia preventiva per la viremia da CMV (coorte 2)”. A tale riguardo, nel protocollo è precisato che “si prevede di poter ottenere un campione di 160-240 pazienti consecutivi che soddisfino i criteri di inclusione/esclusione”. Nel protocollo dello Studio è altresì precisato che: “Lo sperimentatore di ciascun centro trapianti selezionato sarà responsabile dello screening dei pazienti, dell'arruolamento […] dei pazienti eleggibili (in base alla data del trapianto più recente e procedendo a ritroso verso i trapianti precedenti) e della raccolta dei dati. I dati saranno raccolti dalle cartelle cliniche e comprenderanno le caratteristiche del paziente trapiantato, le informazioni sul trapianto, lo stato CMV, gli esiti clinici, i modelli di trattamento e l'HCRU. I dati verranno inseriti in una scheda di raccolta dati studio-specifica elettronica (eCRF)”;

RILEVATO che i “dati dei pazienti selezionati [raccolti dalle cartelle cliniche] verranno inseriti in una scheda di raccolta dati [...] elettronica (eCRF, electronic case report form). Non verranno raccolti dati personali che potrebbero portare ad un’identificazione dei pazienti (ad esempio, nomi, iniziali, e altre informazioni specifiche), e i dati verranno codificati (pseudonimizzati) mediante l'attribuzione di un codice numerico unico che identificherà i dati del paziente all'interno dei registri di studio, deidentificandoli. Questo codice o qualsiasi altra informazione che collega i dati alla specifica identità del paziente saranno mantenuti in modo sicuro dallo Sperimentatore. Lo Sperimentatore avrà una password, personale e non trasferibile, per entrare e validare le informazioni inserite nell’eCRF. Le cartelle cliniche originali del paziente non saranno accessibili da nessuno al di fuori del team di studio”;

RILEVATO che da un punto di vista organizzativo sia lo Sponsor che i n. 3 centri partecipanti sono autonomi titolari del trattamento;

RILEVATO che lo Sponsor ha trasmesso in atti i moduli denominati “dichiarazione sostitutiva al modulo di consenso informato in caso di studio retrospettivo” predisposti da ciascun centro partecipante nei quali, con riferimento all’impossibilità di acquisire il consenso al trattamento dei dati personali degli interessati, sono indicati “Motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo studio riguarda interessati con patologie ad elevata incidenza di mortalità o in fase terminale della malattia o in età avanzata e in gravi condizioni di salute)”;

RILEVATO che in relazione alle attività di analisi dei dati e pubblicazione dei risultati nel protocollo è precisato che: “[…] verranno calcolate statistiche descrittive quali la media ± deviazione standard, la mediana (Q1, Q3, min-max e range interquartile), nonché conteggi e percentuali. […] I risultati delle analisi descrittive saranno riportati per ciascuna coorte complessivamente e per regione (Europa e Canada, separatamente). […] Data la natura esclusivamente descrittiva di questo studio, non verranno prese in considerazione ipotesi statistiche e non verranno effettuati confronti statistici. […] Verrà considerata la possibilità di effettuare una misura provvisoria dei dati in una data concordata tra CTI e Takeda, indipendentemente dalle domande emergenti. L'obiettivo è la diffusione precoce dei dati”;

RILEVATO che l’Ufficio del Garante ha avviato una specifica istruttoria nei confronti della Società (nota del 23 maggio 2023, prot. n. 81612), volta, da una parte, ad acquisire la valutazione d’impatto non tramessa unitamente all’istanza di consultazione preventiva e, dall’altra, a chiarire in particolare:

i ruoli dei diversi soggetti che a vario titolo intervengono nel trattamento dei dati personali relativi allo Studio;

la base normativa di un eventuale trasferimento dei dati verso paese un terzo;

i motivi di impossibilità ad acquisire il consenso degli interessati e quali ragionevoli “sforzi” il titolare del trattamento intenda svolgere per provare a contattare i pazienti da arruolare prima di considerali non contattabili ovvero per attestarne il decesso;

in che modo il titolare intenda adempiere ai propri obblighi informativi, ai sensi dell’artt. 13 e 14 del Regolamento;

i tempi di conservazione dei dati trattati ovvero i criteri utilizzati per determinare tale periodo con l’indicazione delle ragioni tecnico scientifiche per cui tale periodo si reputa proporzionato, come richiesto dal principio di limitazione della conservazione dei dati e se, al termine della conservazione dei dati, essi saranno definitivamente cancellati ovvero resi anonimi;

in caso di anonimizzazione dei dati al termine del periodo di conservazione o comunque in ipotesi di diffusione, le misure che si intendono implementare per ridurre il rischio di re-identificazione degli interessati ad un livello accettabile;

RILEVATO che la Società, con nota del 18 luglio 2023, ha fornito i chiarimenti richiesti dall’Ufficio del Garante con la nota citata, trasmettendo in atti, tra gli altri documenti, la valutazione d’impatto e l’informativa privacy redatta ai sensi dell’art. 13 del Regolamento;

In particolare, la Società ha rappresentato che:

agisce in qualità di Sponsor dello Studio e che tratta, quale titolare del trattamento, i dati pseudonimizzati dei pazienti arruolati nello Studio dai centri partecipanti, titolari autonomi per i trattamenti di propria competenza;

la società CTI Clinical Trial Services, Inc., con sede negli Stati Uniti, in qualità di CRO opera quale responsabile del trattamento, all’uopo nominata dallo Sponsor, ai sensi dell’art. 28 del Regolamento, in relazione al trattamento dei dati personali di cui verrà a conoscenza nell’ambito dello Studio, sulla base delle attività contrattualizzate nel Master Services Agreement sottoscritto nel 2017 e successivamente emendato a maggio del 2022, cui sono allegati il “data processing agreement” e le clausole contrattuali tipo per il trasferimento dei dati presso un paese terzo, ai sensi dell’art. 46 del Regolamento;

la CRO, unitamente alle proprie affiliate tra le quali, per l’Italia, la società CTI Clinical Trial and Consulting Services Italy S.r.l., anch’essa nominata responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento;

la Società, in qualità di titolare del trattamento localizzato in un paese terzo che tratta dati di soggetti situati nell'Unione, ha nominato la società Takeda Pharmaceuticals International AG Ireland, quale rappresentante nell’Unione, ai sensi dell’art. 27 del Regolamento;

i dati personali saranno raccolti dai Centri partecipanti a partire dalle informazioni presenti nelle cartelle cliniche che verranno inserite nel “eCRF” dello Studio (modulo elettronico di raccolta dei dati), in forma pseudonimizzata;

le eCRF saranno archiviate in una piattaforma “cloud based EDC” denominata “Zelda” localizzata negli Stati Uniti, della società Merative Healthcare Ireland Ltd che offre servizi di hosting per conto della CRO in qualità di sub-responsabile del trattamento dei dati di quest’ultima, e accessibili dallo Sponsor stabilito in Svizzera;

i trasferimenti di dati personali sono effettuati sulla base di specifiche garanzie a tutela dei diritti e delle libertà degli interessati. Nello specifico, il trasferimento in USA viene effettuato sulla base delle clausole contrattuali tipo, ai sensi dell’art. 46 del Regolamento. Il trasferimento in Svizzera si fonda sulla Decisione della Commissione del 26 luglio 2000 ai sensi della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguata protezione dei dati personali fornita in Svizzera in conformità con quanto stabilito dall’art. 45 del Regolamento;

RILEVATO che con riferimento ai motivi di impossibilità ad acquisire il consenso degli interessati la Società ha rappresentato che:

“ogni centro avrà 3 mesi per l’arruolamento dei pazienti e la raccolta dei dati. Considerando il periodo limitato di arruolamento e raccolta dei dati, le visite ospedaliere […] non avvengono a intervalli brevi e regolari, quindi per la maggior parte dei pazienti è improbabile che si verifichino durante il periodo di arruolamento previsto per lo studio (fine nel novembre 2023) […]. Chiedere ai pazienti di recarsi specificamente al centro per firmare il modulo di consenso informato clinico (informed consent form, “ICF”), essere informati sul trattamento dei loro dati e fornire il consenso al trattamento dei dati rappresenterebbe un ulteriore onere che i pazienti affetti da questa malattia che potrebbero non essere in grado di sopportare” qualora anche fossero rimborsate le spese “il viaggio rappresenterebbe comunque uno sforzo sproporzionato e un ulteriore onere per i pazienti stessi e i loro caregiver”;

“[…] limitare la popolazione dello studio a quei pazienti che si recano di persona ai centri per le visite di routine durante il periodo di arruolamento previsto ridurrebbe notevolmente e sostanzialmente il numero di pazienti coinvolti nello studio ed è probabile che renda impossibile o comprometta seriamente il raggiungimento dello scopo della ricerca. Una dimensione troppo piccola del campione osservato potrebbe effettivamente non essere un’evidenza rappresentativa”;

“E tale effetto non sarebbe limitato al ramo italiano dello studio ma influirebbe anche sull’intera ricerca: considerando che, in totale, si prevede che i centri italiani forniranno circa 45 pazienti da arruolare nello studio, che rappresentano quasi il 30% della popolazione complessiva dello studio. Il mancato raggiungimento di un numero adeguato di soggetti dello Studio in Italia potrebbe avere un impatto significativo sul valore scientifico della ricerca […]”;

“Allo stesso modo, potrebbero insorgere problemi organizzativi anche nel caso in cui i centri tentino di contattare i pazienti idonei da remoto e l’ICF e l’informativa sulla privacy (nonché la relativa richiesta di consenso al trattamento dei dati) siano consegnati ai pazienti tramite posta ordinaria e quindi ritirati una volta firmati. In questo scenario, i centri devono elaborare i recapiti e gli indirizzi dei pazienti e gestire la consegna (o incaricare un fornitore di farlo). Potrebbero esistere rischi potenziali che alcuni recapiti/indirizzi nelle cartelle cliniche possano essere mancanti o obsoleti […]; di conseguenza, sarebbe necessario uno sforzo aggiuntivo presso i centri per raccogliere le informazioni necessarie, contattare prima i pazienti idonei per telefono, programmare una seconda chiamata tra i pazienti che si intende arruolare e lo sperimentatore, durante la quale sarebbero spiegati gli obiettivi dello studio e la raccolta dei dati; inviare la documentazione al paziente che ha accettato di essere arruolato e fare in modo che questi documenti siano rispediti al centro una volta firmati dal paziente. Inoltre, […], i pazienti potrebbero aver bisogno di chiarimenti sia dal punto di vista scientifico sia da quello della protezione dei dati, richiedendo al personale dei centri di programmare ulteriori riunioni/chiamate da remoto. Ciò richiederebbe molto tempo e molte risorse per i centri dello studio. Parallelamente, il processo di cui sopra implica che i pazienti debbano rispedire la documentazione ai centri, una volta firmata. Questo sarebbe un potenziale ulteriore onere [per pazienti che soffrono di una malattia grave]”;

“questa procedura per raccogliere il consenso da remoto normalmente richiede 2/3 mesi in studi con una dimensione della popolazione idonea paragonabile). […] questa modalità implicherebbe sforzi sproporzionati per i centri dello studio e, considerando il breve periodo di arruolamento previsto per questo studio (un periodo di 3 mesi per l’arruolamento e la raccolta dei dati, come specificato nella Sezione 4.2.1 del Protocollo), la popolazione che completa l’arruolamento a tempo debito sarebbe ragionevolmente molto limitata con impatti negativi sulla capacità di arruolamento dei soggetti e, di conseguenza, sul valore statistico e sulla possibilità di raggiungere gli scopi della ricerca […]” per la quale è “fondamentale includere il maggior numero di pazienti possibile, qualora fossero in vita, deceduti o persi al follow-up necessario”;

“Qualora l’esistenza di motivi di impossibilità organizzativa di cui sopra non fosse considerata valida […], è […] ragionevole sostenere che [la] procedura ai sensi dell’art. 110, Codice Privacy, [possa rappresentare] la base giuridica per il trattamento dei pazienti dello Studio idonei che, al momento dell’arruolamento, siano deceduti o persi al follow-up”;

“[…] In particolare, i Centri prenderanno in considerazione:

pazienti deceduti: pazienti le cui informazioni relative al decesso e/o il decesso sono registrate nelle cartelle cliniche dei pazienti disponibili presso un determinato centro;

pazienti persi al follow-up: pazienti che il centro ha tentato di contattare almeno 3 volte tramite telefonata senza successo. Il personale dello studio deve registrare nelle cartelle cliniche dei pazienti tutti i tentativi fatti (almeno 3 tentativi) per contattare i pazienti e/o verificare se sono ancora in vita”.

RILEVATO che per garantire un livello accettabile di trasparenza nei confronti dei soggetti interessati non contattabili, la Società ha dichiarato che intende attuare le seguenti misure:

“[…], [l’] informativa sulla privacy sar[a’] disponibil[e] presso i centri e conservat[a] nell’archivio del centro dello sperimentatore […], in modo che i soggetti dello studio che potrebbero recarsi presso un centro di trapianto durante il periodo di arruolamento o la conduzione dello Studio abbiano la possibilità di essere informati in merito al trattamento in atto e siano abilitati a chiedere chiarimenti e, se del caso, a esercitare i propri diritti in qualità di interessati. Di conseguenza, rimane l’obbligo di raccogliere il consenso al trattamento dei dati dei pazienti inclusi nella ricerca in tutti i casi in cui, durante lo Studio, sia possibile fornire loro informazioni adeguate e, in particolare, quando si recano al centro di trattamento, anche per i follow-up”;

“come ulteriore misura per garantire la trasparenza, ogni centro italiano sarà invitato a inviare ai pazienti eleggibili l’informativa sulla privacy e alcuni documenti informativi correlati allo studio a mezzo posta all’ultimo indirizzo degli interessati disponibile nel database del centro. In particolare la documentazione spiegherà in modo trasparente e chiaro che il paziente è stato identificato come soggetto eleggibile per lo Studio; che il paziente (o un suo parente prossimo) può chiedere chiarimenti o revocare la propria partecipazione contattando il centro e che potranno esercitare i diritti previsti dal Regolamento”;

l’informativa redatta ai sensi dell’art. 14 del Regolamento “sarà consegnata all’intera popolazione dello studio o ai pazienti che risultano persi al follow-up e al parente prossimo di coloro che sono deceduti”;

RILEVATO che in relazione ai tempi di conservazione dei dati, la Società ha rappresentato che lo Studio ha una durata di 24 mesi. Nello specifico, si prevede che la raccolta dei dati in Italia si chiuderà entro la fine di novembre 2023 e che il rapporto finale dello Studio sarà pubblicato nel corso del mese di maggio 2024. A partire da tale data, i centri partecipanti conserveranno i dati e le relative chiavi di de-codifica per 7 anni. La documentazione amministrativa dello Studio (ad es. protocollo e relativi emendamenti, team di studio, modelli ICF, verbali di riunione, ecc.) sarà conservata dallo Sponsor per 30 anni dopo la fine dello studio.

Al termine dei periodi di conservazione indicati e, in particolare, a seguito della cancellazione della documentazione dello Studio presso i Siti, prevista 7 anni dopo la conclusione dello stesso, le chiavi di de-codifica dei dati e l’intera documentazione saranno cancellata. La Società non avrà mai accesso all'elenco delle chiavi, né durante lo Studio né successivamente;

RILEVATO, infine, che la Società ha dichiarato che i dati pseudonimizzati al termine dei 7 anni, saranno ulteriormente trattati per renderli anonimi utilizzando tecniche di K-anonimità ed eliminando il rischio di re-identificazione degli interessati in base agli standard legali applicabili, garantendo che le informazioni disponibili non possano essere riferite a un individuo specifico, in modo tale che, con sforzi ragionevoli, non vi sia la possibilità per lo Sponsor di individuare gli interessati, o di identificarli collegando tali dati ad altri disponibili in altre banche dati, o di dedurre nuove informazioni relative a un individuo da quelle disponibili.

Inoltre, tutti i report oggetto di pubblicazione includeranno solo dati statistici e aggregati.

RILEVATO, tuttavia, che nel documento prodotto in sede istruttoria denominato Trasparenza dei dati degli studi clinici Takeda Procedure di anonimizzazione e protezione dei dati è rappresentato che, ai fini della condivisione con la comunità scientifica dei dati trattati per la realizzazione dello studio, si intenderebbe anonimizzarli attraverso la rimozione e/o la sostituzione di alcuni attributi riferibili ad ogni singolo interessato;

RITENUTO che emergono alcuni elementi della valutazione d’impatto rilevanti sotto il profilo della protezione dei dati personali che occorre evidenziare e in particolare che:

- la Società, oltre all’art. 110 del Codice, indica altre basi giuridiche sulle quali fonda il trattamento dei dati personali dei pazienti arruolati nello Studio. In particolare, 1) l“Adempimento di un obbligo legale previsto dal diritto dell’UE o degli Stati membri e dalle norme di Buona pratica clinica. Applicabile alle seguenti finalità: (ii) Dati dei soggetti in studio: (b) Monitoraggio dello Studio; (c) Segnalazioni di farmacovigilanza; (iii) Dati dello sperimentatore e del personale dello studio e dati dei soggetti in studio: (b) Divulgazione come requisito di legge o misura necessaria per dare seguito alla richiesta da parte di un’autorità”; 2) i “Legittimi interessi perseguiti dall’Azienda o da un soggetto terzo. Applicabile alle seguenti finalità: (iii) Dati dello sperimentatore e del personale dello studio e dati dei soggetti in studio: (a) Operazioni di fusione e acquisizione;

- “lo Studio sarà condotto in accordo con le Linee guida per le Buone Pratiche di Farmacoepidemiologia (GPP, Good Pharmacoepidemiology Practices)”;

- “L’Associazione europea delle imprese farmaceutiche (EFPIA) sta attualmente sviluppando un Codice di Condotta GDPR per le Sperimentazioni Cliniche e la Farmacovigilanza, che Takeda intende sottoscrivere se/quando sarà approvato”;

- “Per mitigare il rischio di condivisione di informazioni di identificazione personale con soggetti non autorizzati, saranno rimossi tutti i dati che consentono di risalire all’identità del paziente, ad es. nomi, numeri dell’ospedale e altre informazioni specifiche del paziente, associati ai dati raccolti di singoli pazienti. La privacy dei pazienti sarà ulteriormente protetta utilizzando un codice di identificazione di sette cifre che inizia con un numero di codice di quattro cifre del centro seguito dalla sequenza numerica in cui i pazienti sono stati identificati in ogni centro, a partire da 001. Nessuno dei dati registrati consentirà di identificare i singoli pazienti; il codice o altre informazioni che collegano i dati a pazienti specifici saranno conservati in modo sicuro dallo sperimentatore”;

- “I Dati Codificati con Chiave saranno poi trasferiti sulla piattaforma EDC attraverso le eCRF. In ogni caso, i documenti sorgente verranno conservati presso i centri e le uniche informazioni rilevanti per i soggetti in studio fornite allo sponsor nello svolgimento dello Studio saranno i dati codificati con chiave”;

- “Al termine del periodo di arruolamento - la data di uscita dell’ultimo soggetto (LSO, last subject out) è prevista per il 30 novembre 2023 - dopo la pulizia dei dati e il blocco del database (“DBL”), Merative estrarrà i dati pseudonimizzati in diversi formati analizzabili (ad es. SaaS, Excel, ecc.) e trasferirà questo set di dati a CTI. CTI eseguirà l’analisi statistica in base al Piano di Analisi Statistica dello Studio”;

- “Dopo la conclusione dello Studio, ossia il rilascio del rapporto dello studio (“CSR”, Clinical Study Report), il set di dati sarà trasferito a Takeda e conservato nel Trial Master File elettronico (“eTMF”, fascicolo elettronico permanente della sperimentazione clinica) nella piattaforma Veeva Vault di Takeda”;

- “Le politiche IT di Takeda prevedono l’obbligo di autenticazione per l’accesso ai sistemi. Takeda richiede garanzie analoghe a soggetti terzi coinvolti nelle Sperimentazioni Cliniche. Sono richieste Valutazioni del Rischio per la Privacy dei Dati e la Sicurezza di Terze Parti”:

- “In EudraLex volume 4 (Norme che disciplinano i medicinali nell’UE – Buona pratica di fabbricazione) Allegato 11 (Sistemi computerizzati) sono definite linee guida per l’uso di documenti elettronici nell’ambito delle GMP [Good manufacturing practice di EMA]. L’Allegato 11 tratta i requisiti riguardanti, tra l’altro, l’integrità, la sicurezza e la disponibilità dei dati” cui Takeda aderisce;

- la “Politica Globale di Gestione dei Rischi di Terze Parti di Takeda definisce le modalità con cui i partner aziendali gestiscono e mitigano in modo olistico i principali rischi derivanti da soggetti terzi per l’intera durata dell’incarico, con l’ausilio di un semplice processo e il supporto di un esperto della funzione di gestione del rischio”;

- “È stata svolta la valutazione della Gestione del Rischio di Terze Parti (TPRM, Third-Party Risk Management). CTI è in linea con gli standard di Takeda”;

RILEVATO che il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni, nonché delle Regole deontologiche che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto non è necessario  “[...] quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante, ai sensi dell'articolo 36 del Regolamento (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento);

RILEVATO che l’art. 89, par. 1 del Regolamento dispone, in particolare, che “Il trattamento a fini [...] di ricerca scientifica è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo [...]”;

RILEVATO che i dati devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento). In relazione ai correlati obblighi informativi, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai paragrafi da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità (…)”, indicando delle specifiche modalità a titolo esemplificativo;

RILEVATO che i dati devono essere trattati nel rispetto del principio di limitazione della conservazione, in base al quale i dati devono essere conservati solo per il tempo necessario al perseguimento degli scopi della raccolta o se del caso definito in base a specifici obblighi normativi (art. 5, par. 1 lett. b) e e) del Regolamento);

RILEVATO che il titolare è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, determina le decisioni di fondo relative a finalità e modalità di un trattamento effettuato in base a uno dei presupposti di liceità di cui agli artt. 6 e 9 del Regolamento (cfr. “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato Europeo per la protezione dei dati, il 7 luglio 2021).

Il responsabile del trattamento svolge operazioni di trattamento di dati personali delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse in termini di conoscenze specialistiche, di affidabilità e risorse per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento (cfr. il considerando 81, del Regolamento), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.

RILEVATO che la disciplina in materia di protezione dei dati personali non riguarda dati anonimizzati, intendendosi per tali solo quelli che non consentono in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzando tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

RILEVATO che nell’istanza la Società tenta, in primo luogo, di fondare la necessità di ricorrere alla procedura di consultazione preventiva del Garante ex art. 110 del Codice per motivi organizzativi correlati ad una presunta impossibilità anche solo a provare a contattare tutti i pazienti arruolati e quindi di acquisirne il consenso;

RILEVATO altresì che la Società si dichiara, in subordine, disponibile a profondere un ragionevole sforzo per contattare i pazienti prima di attestarne la perdita al follow up, ovvero di verificarne il decesso tramite controllo nella relativa cartella clinica e di ricorrere alla consultazione preventiva del Garante ex art. 110 del Codice come base giuridica del trattamento solo per queste due categorie di interessati;

RITENUTO che i motivi di impossibilità organizzativa a provare a contattare tutti i pazienti da arruolare allo Studio e acquisirne il consenso non appaiono fondati, pertinenti e adeguatamente motivati anche in ragione del numero esiguo dei pazienti che si intendono arruolare in Italia (n. 45), dai n. 3 Centri partecipanti coinvolti nello Studio (cfr. punto 5.3 delle Prescrizioni). Tali ragioni infatti devono essere del tutto particolari o eccezionali e non si rinvengono nello Studio. Nello specifico, il fatto stesso che in subordine la Società dichiari di poter provare a contattare gli interessati per acquisirne il consenso prima di considerarli persi al follow-up dimostra come nel caso in esame non sia necessario e proporzionato prescindere dal consenso degli interessati prima ancora che si sia provato ad acquisirlo;

RITENUTO pertanto che lo scenario prospettato come subordinato debba considerarsi l’unico percorribile e che in tale ambito la Società abbia correttamente indicato le modalità con le quali intende accertare lo stato del decesso ovvero quello di paziente perso al follow up. Nello specifico, le informazioni sul decesso sono reperibili nelle cartelle cliniche mentre sono considerati persi al follow up i pazienti che il centro ha tentato di contattare almeno 3 volte tramite telefonata senza successo; i tentativi di contatto sono registrati nella cartella clinica dei pazienti stessi;

RITENUTO quindi che l’art. 110 del Codice possa rappresentare un’idonea base giuridica per il trattamento dei dati personali dei pazienti deceduti o risultati, all’esito di ragionevoli sforzi (tre tentativi di contatto), non contattabili secondo quanto previsto dal richiamato punto 5.3 delle Prescrizioni;

RILEVATO che la valutazione d’impatto e l’informativa privacy redatta ai sensi dell’art. 14 del Regolamento individuano altresì quale base giuridica per il trattamento dei “dati dei soggetti in Studio” l’interesse legittimo del titolare del trattamento;

RITENUTO che non risulta pertinente l’indicazione -nella valutazione d’impatto e nell’informativa- del legittimo interesse del titolare per il trattamento dei dati dei pazienti, ciò in quanto per le particolari categorie di dati è necessaria l’indicazione di una specifica esenzione dal divieto di trattamento, di cui all’art. 9, par. 2 del Regolamento, mentre il legittimo interesse può riguardare una valida base giuridica solo per il trattamento dei dati cd comuni (art. 6, par. 1, lett. e) del Regolamento);

RITENUTO pertanto necessario che la valutazione d’impatto e l’informativa sul trattamento dei dati personali redatta ai sensi dell’art. 14 del Regolamento, prima che il trattamento abbia inizio, vengano modificate espungendo il riferimento al legittimo interesse del titolare quale base giuridica del trattamento dei dati personali dei pazienti arruolati nello Studio;

RILEVATO che lo Studio ha ottenuto il parere favorevole dei competenti comitati etici a livello territoriale, elemento che si configura quale condizione di liceità e correttezza del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr. provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827);

RILEVATO che la Società ha individuato quali misure per ottemperare agli obblighi di trasparenza correlati ai trattamenti in esame la conservazione del modulo di informativa nell’archivio del centro di sperimentazione in modo da poterla esibire ai pazienti qualora si dovessero recare presso il Centro e quella dell’invio di tale documento a mezzo posta, all’ultimo indirizzo degli interessati disponibile nel data base del centro;

RITENUTO che tale misura sia da sola inidonea a garantire l’effettiva applicazione del principio di trasparenza e degli adempimenti di cui all’art. 14, par. 5, lett. b), in quanto essa si fonda sulla sostanziale possibilità per l’ospedale di instaurare un contatto diretto con l’interessato che nel caso in esame si presume invece non contattabile;

TENUTO CONTO che lo Studio coinvolge anche pazienti deceduti ovvero non contattabili, al fine di assicurare l’effettiva applicazione dei richiamati principi di correttezza e trasparenza, si ritiene necessario che la Società, in aggiunta alle misure previste, renda altresì pubbliche, per tutta la durata dello Studio, le informazioni da fornire agli interessati, ai sensi dell’art. 14 del Regolamento, anche attraverso una specifica inserzione sul proprio sito internet e su quelli dei centri di sperimentazione coinvolti nello Studio in una sezione facilmente accessibile, ai sensi degli artt. 5, par. 2, lett. a) 14 del Regolamento e 6, comma 3 delle Regole deontologiche (cfr. provv. del 1° novembre 2021, doc. web n. 9731827 e del 2 marzo 2023 doc. web n. 9875254);

RITENUTO che la Società anche a seguito delle ulteriori informazioni fornite nel corso dell’attività istruttoria svolta dall’Ufficio, abbia adeguatamente motivato il periodo di conservazione dei dati da parte dei Centri partecipanti per un periodo di 7 anni dalla chiusura dello Studio (ossia dal completamento del rapporto dello Studio), richiamando per analogia l’art. 18 del d. lgs. del 6 novembre 2007, n. 200 ed evidenziando che tale periodo “è apparso congruo in riferimento a uno studio non interventistico quale quello in oggetto, nell’ambito del quale la conservazione successiva alla chiusura dello Studio a livello dei Centri sarebbe meramente funzionale a consentire gli audit o le ispezioni volte a verificare la completezza e la correttezza della documentazione di studio raccolta, nonché la conformità al protocollo e ai processi circa le modalità dell’avvenuta raccolta e analisi dei dati”;

RITENUTO invece che le motivazione addotte dalla Società per conservare i dati “codificati” per un periodo di 30 anni dalla conclusione dello Studio, strettamente correlate ad esigenze volte ad uniformare il predetto periodo di conservazione alle disposizioni normative previste nei diversi paesi in cui la Società opera, non appaiono conformi ai principi in materia di protezione dei dati personali e in particolare a quello di limitazione della conservazione dei dati, e tenuto anche conto del fatto che l’ulteriore conservazione per scopi di ricerca scientifica può essere ammessa, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato;

RITENUTO pertanto che la Società possa conservare i dati per un periodo analogo a quello previsto per i centri partecipanti e dunque per 7 anni dalla conclusione dello Studio;

RITENUTO invece che la Società, nello Studio presentato, abbia dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di efficaci tecniche di minimizzazione durante tutta la fase del trattamento (fino al termine di 7 anni dalla conclusione dello Studio), descritte nella documentazione acquisita agli atti del procedimento e in particolare nella valutazione d’impatto;

RITENUTO la Società abbia correttamente definito i ruoli (di titolari, responsabili e rappresentanti ai sensi degli artt. 24, 27 e 28 del Regolamento) dei soggetti a vario titolo coinvolti nella realizzazione dello Studio, implementando una struttura organizzativa tale da escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dei pazienti arruolati nel richiamato Studio;

RITENUTO che, in base alle dichiarazioni rese ai sensi dell’art. 168 del Codice, la Società abbia altresì correttamente individuato le condizioni di liceità per l’eventuale trasferimento dei dai verso paesi terzi, fermo restando che in omaggio al principio di accountability spetta in ogni caso a quest’ultimo valutarne in concreto la corrispondenza ai requisiti richiesti dal Regolamento (artt. 5, par. 2 e 44 e ss. del Regolamento);

RITENUTO che la valutazione di impatto individui nel suo insieme misure tecniche e organizzative idonee a ricondurre i rischi correlati ai trattamenti necessari per la realizzazione dello Studio ad un livello accettabile;

CONSIDERATO che l’anonimizzazione dei dati debba essere considerata come un trattamento dinamico da valutare in ragione delle differenti variabili indicate nel considerando 26 del Regolamento e in particolare delle concrete finalità che il titolare intende perseguire con i dati all’esito della loro anonimizzazione. Il rischio di re-identificazione degli interessati, infatti, può variare a seconda che l’anonimizzazione sia effettuata al solo scopo di archiviazione delle informazioni trattate, ovvero di ulteriore utilizzazione delle stesse eventualmente in combinazione con altre informazioni o anche per un’eventuale condivisione dei dati con la comunità scientifica;

RILEVATO che la Società nella valutazione d’impatto ha altresì dichiarato che i dati anonimi possono essere condivisi oltre che con le autorità regolatorie e gli organismi notificati, quando richiesto dalla legge, anche con “gli Ospedali e gli Sperimentatori”;

RILEVATO che le tecniche indicate nel richiamato documento “Trasparenza dei dati degli studi clinici Takeda Procedure di anonimizzazione e protezione dei dati” risultano inidonee a scongiurare ipotesi di single-out in quanto prevedono unicamente interventi effettuati sui singoli record, quali ad esempio l’aggiunta di offset, che mantengono inalterata tanto la cardinalità del dataset quanto la presenza nel dataset di record univoci e dunque potenzialmente identificativi. Inoltre, diversamente da quanto indicato nell’istanza, esse non fanno riferimento alla tecnica di K-anonimity, che consiste nel raggruppare gli interessati sulla base di specifiche combinazioni di attributi, opportunamente generalizzati, in modo che in ciascun raggruppamento siano inclusi almeno K soggetti non distinguibili tra loro (cfr. provv. del 1° giugno 2023, doc. web n. 9913795);

RITENUTO quindi necessario che, qualora il titolare del trattamento intenda condividere i dati anonimizzati con la comunità scientifica ovvero diffonderli, tali tecniche di anonimizzazione siano ulteriormente rafforzate o attraverso l’introduzione di elementi di distorsione del dato (offset) su tutti gli attributi del record, qualora si intenda mantenere singolarità all’interno del dataset, ovvero attraverso l’applicazione della richiamata tecnica di K-anonimity;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla Takeda Pharmaceuticals International AG, Thurgauerstrasse 130, 8152 Glattpark (Opfikon), Switzerland, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti ai pazienti deceduti o non contattabili arruolati nello “Studio retrospettivo multinazionale, osservazionale, sugli esiti dell'infezione da CMV, sui modelli di trattamento e sull'utilizzo dell'assistenza sanitaria (OTUS) nei riceventi di trapianto di organi solidi (SOT, Solid Organ Transplant) in Europa e Canada (estensione OTUS SOT nei paesi EUCAN: Austria, Belgio, Canada, Grecia, Israele, Italia, Paesi Bassi, Polonia e Svezia)”, a condizione che:

a) l’impossibilità di acquisire il consenso degli interessati venga attestata solo all’esito dei ragionevoli sforzi consistenti in tre tentativi di contatto non andati a buon fine e registrati nella cartella clinica dei pazienti;

b) la valutazione d’impatto e l’informativa sul trattamento dei dati personali, prima che il trattamento abbia inizio, vengano modificate espungendo il riferimento al legittimo interesse del titolare quale base giuridica del trattamento dei dati personali dei pazienti arruolati nello Studio;

c) renda pubbliche, per tutta la durata dello Studio, le informazioni da fornire agli interessati, ai sensi dell’art. 14 del Regolamento, anche attraverso una specifica inserzione sul proprio sito internet e su quelli dei centri di sperimentazione coinvolti nello Studio in una sezione facilmente accessibile;

d) conservi i dati per un periodo analogo a quello previsto per i centri partecipanti e dunque per 7 anni dalla conclusione dello Studio;

e) qualora intenda condividere i dati anonimizzati con la comunità scientifica ovvero diffonderli, le tecniche di anonimizzazione siano ulteriormente rafforzate o attraverso l’introduzione di elementi di distorsione del dato (offset) su tutti gli attributi del record, qualora si intenda mantenere singolarità all’interno del dataset, ovvero attraverso l’applicazione della richiamata tecnica di k-anonimity.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei