[doc. web n. 9919244]

Provvedimento del 22 giugno 2023

Registro dei provvedimenti
n. 261 del 22 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata dall’Azienda Ospedaliera Universitari “G. Martino” di Messina, con sede legale in Via Consolare Valeria, 98122 Messina, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione dello studio osservazionale, multicentrico, retrospettivo, no profit dal titolo “Caratterizzazione clinica di istotipi rari di neoplasie epiteliali delle via biliari- Studio IRaBiCa” (nota del 1° febbraio 2023);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

L’Azienda Ospedaliera Universitari “G. Martino” di Messina (di seguito Azienda) ha avanzato un’istanza, ai sensi dell’art. 110 Codice e dell’art. 36 del Regolamento per la realizzazione dello studio osservazionale, multicentrico, retrospettivo, no profit dal titolo “Caratterizzazione clinica di istotipi rari di neoplasie epiteliali delle via biliari- Studio IRaBiCa” (di seguito lo Studio), rispetto alla quale l’Ufficio del Garante ha avviato un approfondimento istruttorio, del quale si dà di seguito atto (note del 20 marzo 2021, prot. n. 47445 e del 16 maggio 2023, prot. n. 78301 e note di riscontro, rispettivamente, del 6 aprile 2023, prot. n. 9942 e del 19 maggio 2023).

Lo Studio prevede l’arruolamento di circa 100 pazienti e “la raccolta di dati clinici di pazienti affetti da istotipi rari di neoplasie epiteliali delle vie biliari nell’arco temporale che intercorre dal primo gennaio 2002 al trentuno luglio 2022”. Esso “si pone l’obiettivo di creare una task force nazionale che si occupi di raccogliere informazioni in merito alle caratteristiche epidemiologiche ed eventuali fattori di rischio di pazienti affetti da questi istotipi rari di tumori delle vie biliari e ove presenti, informazioni circa eventuali trattamenti eseguiti, follow up e dati sulla sopravvivenza”.

L’Azienda, nel presentare il razionale dello Studio, ha indicato che “a causa della rarità dei suddetti istotipi e della mancanza di studi sperimentali che ne stabiliscano il migliore iter terapeutico, i pazienti affetti da queste neoplasie vengono spesso esclusi da trial clinici e trattati secondo regimi terapeutici utilizzati per il colangiocarcinoma convenzionale. [...]. Lo studio IraBiCa vuole rispondere a questo unmet medical need, fornendo una più accurata caratterizzazione dei pazienti affetti da istotipi rari di neoplasie delle vie biliari al fine di garantire il miglio approccio terapeutico”.

Lo Studio prevede il trattamento di dati in forma pseudonimizzata, provenienti dagli archivi cartacei e telematici dei 32 centri partecipanti che saranno raccolti dall’Azienda in un data base al quale è possibile accedere con user id e password. “I diversi centri partecipanti agiscono quali “titolari autonomi” del trattamento ai sensi dell’art. 24 del GDPR e, in virtù del loro potere decisionale, determinano le finalità e i mezzi del trattamento così, ed esempio, chi ha accesso ai dati oppure i pazienti eleggibili e i dati di questi oggetto di trattamento”.

L’istanza di consultazione preventiva si è resa necessaria in quanto la coorte di pazienti da arruolare ne comprende molti che potrebbero risultare deceduti o non contattabili. Qualora quindi non sia possibile acquisire il consenso diretto degli interessati, lo sperimentatore principale, “documenta in cartella clinica che l’arruolamento del paziente è avvenuto senza la raccolta del consenso mediante la compilazione della dichiarazione sostitutiva al modello di consenso informato in caso di studio retrospettivo”. “A riprova del fatto che il personale sanitario cercherà di raggiungere con i mezzi possibili a propria disposizione e di contattare i pazienti [...] si rappresenta […] che, in virtù di una Convenzione sottoscritta con il Comune di Messina, l’A.O.U. “G. Messina” potrà avvalersi del servizio di consultazione per via telematica della banca dati dell’anagrafe della popolazione su base nazionale”.
Ad ogni modo, l’Azienda ha precisato che per i pazienti contattabili verrà acquisito non solo il consenso informato ma anche il consenso al trattamento dei dati, attraverso due distinte tipologie di documenti, trasmessi in atti.

L’Azienda ha trasmesso altresì le informative sul trattamento dei dati personali predisposte ai sensi degli artt. 13 e 14 del Regolamento, precisando che quest’ultima, destinata ai pazienti non direttamente contattabili, verrà pubblicata sul proprio sito internet e su quelli dei centri partecipanti.

L’Azienda, in riferimento ai pazienti contattabili, ha inoltre dichiarato che “il titolare del trattamento fornirà agli interessati l’informativa come da Regolamento (…) spiegando e illustrando le modalità in cui vengono trattati i dati personali e quali sono i diritti del partecipante allo studio relativi alla riservatezza; ciò affinché l’interessato possa decidere se acconsentire esprimendo, ove possibile il consenso (…) oppure non acconsentire al trattamento dei suoi dati e decidere, quindi, di non partecipare allo studio”.

Lo Studio ha ottenuto il parere favorevole del Comitato etico interaziendale di Messina, territorialmente competente, che è stato trasmesso in atti, congiuntamente alla valutazione di impatto, svolta ai sensi dell’art. 35 del Regolamento (Vip) e al protocollo dello Studio.

L’Azienda ha rappresentato di essere il titolare del trattamento dei dati relativi allo Studio e indicato “lo sperimentatore principale” come responsabile del trattamento, il quale sarà coadiuvato dal personale sanitario impegnato nello Studio, ai sensi rispettivamente degli artt. 24 e 28 del Regolamento. In una sezione successiva della VIP viene poi chiarito che “Il Principal Investigator viene nominato come Responsabile interno del trattamento ai sensi dell’art. 2-quaterdecies del D. Lgs. n. 196/2003 Codice in materia di protezione dei dati personali (…)”.

Per meglio chiarire tale aspetto, in sede istruttoria, l’Azienda ha precisato che “i soggetti del Centro coordinatore coinvolti nello studio sono il Principal investigator e gli Study Coordinators. Essi fanno parte della struttura organizzativa interna dell’A.O.U. Come dipendenti e/o collaboratori e vengono formati anche in relazione alle norme comportamentali, organizzative e tecniche cui devono attenersi nello svolgimento delle operazioni di trattamento dei dati personali; tali soggetti vengono designati con apposito atto ai sensi dell’art. 2-quaterdecies de d.lgs. 196/2003 [...] e operano in base alle istruzioni ricevute dal titolare del trattamento secondo le statuizioni dei cui agli artt. 29 e 32, par. 4 del Regolamento UE 2016/679”.

La Vip ribadisce che lo Studio è volto alla raccolta di dati presso differenti Centri partecipanti, che i dati identificativi dei pazienti arruolati sono pseudonimizzati e trasmessi tramite il sistema Recap al Promotore e che “per aver accesso alla CFR (modulo di raccolta dati, predisposta per lo studio) (…) i centri partecipanti devono aver ricevuto il parere favorevole dello studio dai propri comitati etici”.
Con riferimento ai tempi di conservazione è indicato che “in ottemperanza all’art. 58 del Regolamento (UE) 2014/536, i dati saranno conservati per la durata di 25 anni dalla chiusura dello studio. Trascorso tale periodo “i dati saranno resi completamente anonimi, eliminando il collegamento fra nome del paziente e il suo pseudonimo”.

A tale riguardo, l’Azienda ha chiarito che “la necessità di prevedere tale lasso di tempo scaturisce dalla eventualità, già presa in considerazione all’interno delle CRF prodotta nella parte in cui si richiede la disponibilità del materiale biologico dei pazienti arruolati che, qualora fosse disponibile il suddetto, esiste la reale intenzione di utilizzare i dati come base per effettuare studi medici traslazionale”. L’Azienda sul punto ha precisato altresì che “naturalmente, in siffatta ipotesi, tenuto conto che, anche in relazione ai trattamenti in esame non è possibile derogare al requisito della specificità e granularità del consenso [...] non sarà utilizzato il consenso già acquisito ma si avvierebbe una ulteriore fase di acquisizione del consenso del paziente per il trattamento dei dati personali”.

In sede istruttoria, alla luce dei chiarimenti forniti dall’Ufficio del Garante, l’Azienda ha poi dichiarato che “alla luce del principio di limitazione, dopo un successivo esame della documentazione acquisita al fascicolo dello Studio in argomento, l’Azienda ritiene che la conservazione avverrà per un periodo di 5 anni a decorrere dalla data di conclusione dello studio al termine dei 5 anni i dati personali saranno anonimizzati definitivamente mediante le tecniche indicate nella DPIA” ed ha conseguentemente modificato la Vip e le informative per gli interessati.

Anche la previsione di un futuro ulteriore trattamento dei dati dei pazienti arruolati e dei loro campioni biologici è stata chiarita in sede istruttoria avendo l’Azienda precisato che “lo studio IRaBiCa non prevede il trattamento di campioni biologici. Qualora, pertanto, si volesse avviare un successivo studio di medicina traslazionale si provvederà con la stesura ex novo di tutti i documenti di studio specifici: protocollo, sinossi, informativa e consenso al trattamento dei dati personali e, in particolare, dei campioni biologici, DPIA”.

Al termine del trattamento, tenuto conto che nello Studio vi è una scarsa numerosità campionaria e una eterogeneità delle variabili, le tecniche di anonimizzazione che l’Azienda intende implementare sono le seguenti:

• “ELIMINAZIONE dalla c-CFR e, conseguentemente, dal DB di alcuni parametri come ad esempio, il Record ID e il Numero centro;

• GENERALIZZAZIONE mediante aggregazione e K-anonimato di 12 variabili assicurando cosi che ogni valore relativo a un soggetto interessato sia condiviso da almeno un numero minimo (k) di altre persone all’interno dell’insieme. Pertanto, se ciò non avviene si deve prevedere di aggregare i soggetti in gruppi che contengano almeno K soggetti”.

Nella valutazione di impatto è indicato tuttavia che al termine di conservazione “i dati saranno resi completamente distrutti”.

2. La normativa applicabile

Il trattamento di dati personali deve avvenire nel rispetto del Regolamento, secondo il quale, in particolare, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a) del Regolamento).

L’art. 9 del Regolamento sancisce un generale divieto al trattamento delle particolari categorie di dati, tra cui rientrano i dati sulla salute, a meno che non ricorra una delle specifiche esenzioni a tale divieto indicate al paragrafo 2 del medesimo articolo.

In tale quadro, il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato altresì nel rispetto delle prescrizioni relative al trattamento dei dati genetici e dei dati personali effettuato per scopi di ricerca scientifica, allegato 4 e 5 al provvedimento recante le Prescrizioni e delle Regole deontologiche, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

Nel caso in cui la condizione di liceità sia rappresentata dal consenso, esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Con specifico riferimento alle particolari categorie di dati, tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere non solo esplicito ma anche manifestato per iscritto (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637).

Rileva, inoltre, l’art. 110 del Codice che riguarda la ricerca medica, biomedica ed epidemiologica e dispone che “Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando [...] a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”.

In relazione all’istanza pervenuta e ai relativi trattamenti di dati personali, merita evidenziarsi, altresì, il principio di limitazione della conservazione dei dati personali. Tale principio dispone che essi siano “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato” (art. 5, par. 1 lett. e) del Regolamento.

I dati personali, inoltre, devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi.

In base al rinnovato quadro normativo in materia di protezione dei dati personali, sulla base del principio di responsabilizzazione e dell’obbligo di protezione dei dati sin dalla progettazione, si richiede al titolare una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati (cfr. Linee guida 4/2019 sull’articolo 25 “Protezione dei dati fin dalla progettazione e per impostazione predefinita” del Comitato europeo per la protezione dei dati, Versione 2.0, adottata in data 20 ottobre 2020.; provv. del Garante, del 23 gennaio 2020, cit.).

Nell’ambito delle operazioni di trattamento dei dati personali occorre poi individuare correttamente i ruoli di titolare (artt. 4, n. 7 e 24) e, se del caso, di responsabile (art. 4, n. 8 e 28), rispetto ai quali il Regolamento si pone in linea di continuità con il quadro normativo previgente.

Infatti, il Regolamento, da un lato, definisce quale «titolare del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7) e, dall’altro, quale «responsabile del trattamento» “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, n. 8).

Alla luce delle definizioni sopra riportate, pertanto, il titolare è il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e ai mezzi del trattamento dei dati personali degli interessati nonché la responsabilità generale (cd. “accountability”) sui trattamenti posti in essere dallo stesso o da altri “per [suo] conto”, in qualità di responsabili ai sensi dell’art. 28 del Regolamento.

Il ruolo del responsabile del trattamento è, invece, caratterizzato dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare uno o più soggetti particolarmente qualificati allo svolgimento delle stesse - in termini di conoscenze specialistiche, di affidabilità, risorse e sicurezza del trattamento (cfr. cons. 81 del Regolamento) -, delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare (cfr. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0, adottate il 7 luglio 2021).

In base all’art. 29 del Regolamento “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.

Completa tale scenario, l’art. 2-quaterdecies del Codice secondo cui “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” e che ”Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

La disciplina in materia di protezione dei dati personali non trova invece applicazione in relazione ai dati anonimi. A tale riguardo, giova inoltre precisare che si considerano anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014). Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

Da ultimo si evidenzia che in base alla specifica disciplina di settore “Alle amministrazioni pubbliche che ne facciano motivata richiesta, per esclusivo uso di pubblica utilità, l'ufficiale di anagrafe rilascia, anche periodicamente, elenchi degli iscritti, residenti nel comune, in conformità alle misure di sicurezza, agli standard di comunicazione e alle regole tecniche previsti dal decreto del Presidente del Consiglio dei ministri 10 novembre 2014, n. 194, e dall'articolo 58 del decreto legislativo 7 marzo 2005, n. 82” (art. 34, comma 1 d.P.R. 30 maggio 1989, n. 223 Approvazione del nuovo regolamento anagrafico della popolazione residente).

In relazione alla successiva disciplina dell’Anagrafe nazionale della popolazione residente, l’ANPR, di cui al d.lgs. 07 marzo 2005, n. 82 recante Codice dell'amministrazione digitale, dispone che “I comuni inoltre possono consentire, mediante la piattaforma di cui all'articolo 50-ter ovvero anche mediante apposite convenzioni, la fruizione dei dati anagrafici da parte dei soggetti aventi diritto. L'ANPR assicura ai soggetti di cui all'articolo 2, comma 2, lettere a) e b), l'accesso ai dati contenuti nell'ANPR.

L'ANPR attribuisce a ciascun cittadino un codice identificativo univoco per garantire la circolarità dei dati anagrafici e l'interoperabilità con le altre banche dati delle pubbliche amministrazioni e dei gestori di servizi pubblici di cui all'articolo 2, comma 2, lettere a) e b)”.

3. Le valutazioni dell’Autorità

3.1. Liceità e correttezza dei trattamenti del trattamento dei dati

L’Azienda promotrice dello Studio IraBiCa e titolare del trattamento, come previsto dall’art. 110 del Codice e 36 del Regolamento, ha presentato al Garante il progetto e la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello stesso.

Il Garante ritiene che l’Azienda abbia correttamente individuato, nella procedura di consultazione preventiva di cui all’art. 110 del Codice, la base giuridica per il trattamento dei dati personali riferiti ai soggetti deceduti o non contattabili. Ciò rappresentando in maniera esaustiva i motivi che possono giustificare l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso, come previsto al punto 5.3 delle Prescrizioni, correlati, in particolare, all’alta incidenza di mortalità della patologia osservata da una parte e alla circostanza che l’analisi retrospettiva dei dati comporterà una raccolta di informazioni a partire dall’anno 2002, dall’altra.

L’Azienda, inoltre, ha altresì dimostrato di voler impiegare qualsiasi sforzo ragionevole e proporzionato per riuscire a contattare i pazienti, prima di considerarli non contattabili, anche attraverso la stipula di una Convenzione con il Comune di Messina, per la consultazione per via telematica della banca dati dell’anagrafe della popolazione su base nazionale.

A tale riguardo, si segnala che il punto 5.3. delle prescrizioni, al comma 2, secondo capoverso dispone che “Con riferimento a tali motivi di impossibilità organizzativa, le [...] prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente) risultino essere al momento dell’arruolamento nello studio: deceduti o non contattabili”.

Si ritiene pertanto che il ricorso al servizio telematico di consultazione della banca dati dell’anagrafe della popolazione residente su base nazionale, effettuato sulla base di una convenzione sottoscritta dall’Azienda con il Comune di Messina risulta conforme al richiamato quadro normativo applicabile e garantisce un confronto con dati anagrafici esatti ed aggiornati (art. 34, comma 1 d.P.R. 30 maggio 1989, n. 223 Approvazione del nuovo regolamento anagrafico della popolazione residente; d.lgs. 07 marzo 2005, n. 82 recante Codice dell'amministrazione digitale e Prescrizioni).

3.2. Le misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati allo Studio

In via generale, si prende favorevolmente atto delle misure intraprese dall’Azienda per garantire l’effettività del principio di trasparenza nei confronti degli interessati e, in particolare, visti i rilievi formulati dall’Ufficio nell’ambito dell’attività istruttoria, che quest’ultima abbia previsto di pubblicare sul sito internet aziendale e su quello dei centri partecipanti le informative predisposte ai sensi dell’art. 14 del Regolamento, in relazione a coloro che risultano deceduti ovvero non più contattabili rispetto ai quali non è possibile richiedere il consenso al trattamento dei dati.

Nel merito, si osserva tuttavia che il modulo informativo trasmesso appare essere un modello di informativa generale e non specificamente riferito ai trattamenti di dati personali che verranno effettuati nell’ambito dello Studio.

A tal proposito, nel prendersi favorevolmente atto, come misura organizzativa, della preventiva predisposizione da parte del titolare del trattamento di una modulistica generale privacy, non può non osservarsi come il titolare del trattamento debba comunque di volta in volta adeguare, se del caso, l’informativa allo specifico trattamento svolto.

In riferimento ai trattamenti di dati personali in esame, il modello appare generico nella misura in cui individua solo per relationem lo scopo del trattamento senza riportare il nome dello studio, indica diverse basi giuridiche oltre al consenso, ivi incluse quelle che non appaiono in alcun modo pertinenti rispetto al caso in esame (es. motivi di interesse pubblico nel settore della sanità pubblica, art. 9, par. 2 lett. j) del Regolamento) senza fare riferimento, per i pazienti non contattabili, alla procedura di consultazione preventiva di cui all’art. 110 del Codice.

Tutto ciò premesso, si ritiene necessario che il titolare del trattamento modifichi le informative da rendere agli interessati fornendo in maniera chiara, intellegibile, puntuale ed esplicita (art. 12 del Regolamento) tutti gli elementi di cui agli articoli 13 e 14 del Regolamento, in particolare individuando le pertinenti basi giuridiche, le finalità del trattamento e i tempi di conservazione ovvero i criteri utilizzati per determinarli.

3.3 Il periodo di conservazione e l’anonimizzazione dei dati personali

L’Azienda aveva inizialmente indicato un periodo di conservazione dei dati di 25 anni come previsto Regolamento (UE) n. 536/2014 del Parlamento europeo e del Consiglio del 16 aprile 2014 sulla sperimentazione clinica di medicinali per uso umano e che abroga la direttiva 2001/20/CE. In sede istruttoria l’Ufficio del Garante ha rilevato l’inconferenza del richiamo a tale normativa non rientrando lo Studio in quelli disciplinati dal predetto Regolamento.

L’Azienda ha poi ridotto il periodo di conservazione a 5 anni. Si prende favorevolmente atto del fatto che i tempi di conservazione siano stati ricondotti ad un periodo che, anche in base ai precedenti analizzati dal Garante, appare adeguato rispetto allo scopo della raccolta in quanto necessario per il perseguimento degli obiettivi dello Studio.

L’Azienda ha da ultimo dichiarato che i dati personali oggetto della sperimentazione clinica non vengono in alcun caso diffusi, se non in forma rigorosamente anonima ed aggregata, ad esempio attraverso pubblicazioni scientifiche, statistiche e convegni scientifici. È stato chiarito in ogni caso che al termine del trattamento i dati verranno resi anonimi.

A tale riguardo, tenuto conto del generico riferimento alla “generalizzazione” come tecnica per l’anonimizzazione degli stessi, si raccomanda che il titolare assicuri che il risultato della “generalizzazione” sia composto da gruppi (cluster) costituiti da un numero di interessati distinti sufficiente a evitare singolarità o inferenze immediate. A tal fine, si ritiene comunque necessario che ciascun cluster sia composto da almeno tre (3) soggetti con attributi generalizzati omogenei (ad esempio stessa fascia di età, pazienti con istotipi rari di tumore analoghi, stato di avanzamento della malattia).

3.4 Le misure di sicurezza implementate

L’Azienda, quale titolare del trattamento, come richiesto dalla procedura ex artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello Studio, redatta ai sensi dell’art. 35 del Regolamento, come integrata nel corso del procedimento istruttorio, nella quale sono individuate in particolare le misure tecniche e organizzative sinteticamente descritte nel paragrafo 1, previste per la sicurezza dei dati trattati.

Deve notarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Da tale documento, oltre a quanto evidenziato nel precedente paragrafo 1, emerge che l’Azienda, con particolare riferimento alla struttura organizzativa individuata, al fine di garantire il rispetto del principio di integrità e riservatezza, ha predisposto misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio.

È stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli (artt. 5, par. 2 lett. f), e 32 del Regolamento).

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime parere favorevole all’Azienda Ospedaliera Universitaria “G. Martino” di Messina, con sede legale in Via Consolare Valeria, 98122 Messina, C.F. 03051890832 per la realizzazione dello studio osservazionale, multicentrico, retrospettivo, no profit dal titolo “Caratterizzazione clinica di istotipi rari di neoplasie epiteliali delle via biliari- Studio IRaBiCa” a condizione che l’Azienda:

modifichi le informative da rendere agli interessati fornendo in maniera chiara, intellegibile, puntuale ed esplicita tutti gli elementi di cui agli articoli 13 e 14 del Regolamento, in particolare individuando le pertinenti basi giuridiche, le finalità del trattamento e i tempi di conservazione ovvero i criteri utilizzati per determinarli (cfr. punto 3.2);

nell’operazione di “generalizzazione” dei dati, assicuri che ciascun cluster sia composto da almeno tre (3) soggetti con attributi omogenei (cfr. punto 3.4).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 22 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi