[doc. web n. 9920977]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 315 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliera Universitaria Careggi, con sede legale in Largo G.A. Brambilla, 3 - 50134 Firenze, per la realizzazione dello studio osservazionale multicentrico retrospettivo e prospettico “MOBO-Real OSS22465” (nota del 6 marzo 2023, prot. n. aouc_fi 0005671);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

Con la nota in riferimento, l’Azienda Ospedaliera Universitaria Careggi (di seguito Azienda) ha avanzato un’istanza, ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, per la realizzazione dello “studio [italiano] osservazionale multicentrico retrospettivo e prospettico per valutare la sicurezza e l'efficacia di mobocertinib in pazienti pretrattati con carcinoma polmonare non a piccole cellule metastatico con esone20ins dell'EGFR. (MOBO-real)” (di seguito “Studio”), in ragione del fatto che esso coinvolge pazienti non contattabili ovvero deceduti, fornendo in atti il protocollo dello Studio, il parere del comitato etico territorialmente competente e la valutazione di impatto (di seguito anche Vip), svolta ai sensi dell’art. 35 del Regolamento (nota del 6 marzo 2023).

L’Ufficio del Garante ha avviato un approfondimento istruttorio, del quale si dà di seguito atto (nota 20 marzo 2023, prot. n. 47462, nota di riscontro del 19 aprile 2023, prot. n. apuc_fi 0009442 e nota del 29 maggio 2023, Prot. aouc_fi 0012607).

Lo Studio coinvolge tutte le Unità Oncologiche italiane (26 Centri) “coinvolti nell'IPRP (Programma di richiesta del paziente individuale) con una dimensione campionaria stimata di 50 pazienti” [che hanno ricevuto almeno una dose del predetto farmaco mobocertinib] complessivamente, affetti da cancro al polmone (il tumore più mortale al mondo nella forma del tumore non a piccole cellule (NSCLC) in stadio avanzato e caratterizzato da specifiche mutazioni (esoni 20)). La durata dello Studio è di 12 mesi, “con un follow-up aggiuntivo di 30 mesi”.

Lo Studio è volto infatti a valutare l’efficacia del farmaco “mobocertinib”.

Tutti i centri partecipanti allo Studio sono indicati quali titolari del trattamento e ciascuno dovrà acquisire il parere del relativo comitato etico.

Richiamando le parti del protocollo maggiormente rilevanti per i profili di protezione dei dati personali, si evidenzia che lo Studio si pone come obiettivi primari:

“Epidemiologia: valutazione delle diverse varianti delle inserzioni dell'esone 20 di EGFR nella popolazione italiana;

Sicurezza e tollerabilità: incidenza di eventi avversi correlati al trattamento (TRAE), AE e SAE in una popolazione reale;

Efficacia: per valutare in una popolazione reale, non selezionata, ORR, tasso di controllo della malattia (DCR), durata della risposta (DOR) e tempo alla progressione (TTP)”.

Sono invece indicati quali obiettivi secondari:

− “Sopravvivenza complessiva (OS)

− Sopravvivenza libera da progressione (PFS)

− Correlazione tra esito e caratteristiche cliniche (età, sesso, storia di fumo, comorbidità, sedi metastatiche/carico di malattia, ECOG PS, trattamenti precedenti)

− Descrizione dell'esito e delle caratteristiche biologiche (tipo di mutazione)

− Valutazione della percentuale di pazienti in trattamento a 3, 6 e 12 mesi dall'inizio

− Identificazione di un sottogruppo di pazienti che beneficiano del trattamento”.

È indicato, inoltre, che verranno raccolti “[...] dati dei pazienti attualmente in trattamento con mobocertinib o di quelli che hanno interrotto il trattamento per qualsiasi motivo”, utilizzando “una piattaforma on-line (https://www.project-redcap.org/ ) disponibile presso il nostro Ateneo (Università di Firenze), attivando tutte le Unità di Oncologia coinvolte nel protocollo”. In particolare, attraverso tale piattaforma ogni unità oncologica coinvolta potrà fornire i dati accendendo alla piattaforma con user name e password. A tale fine, ogni centro partecipante potrà indicare fino a due nominativi tra il personale deputato ad effettuare il caricamento dei dati nella predetta piattaforma.

“I dati saranno raccolti e registrati in rispetto delle leggi italiane e delle norme internazionali in materia di GCP e privacy, secondo anche i principi generali stabiliti dalla dichiarazione di Helsinki e dai suoi successivi aggiornamenti. Il database sarà protetto da credenziali in possesso esclusivo degli sperimentatori. I nominativi dei pazienti saranno anonimizzati, assegnando ad ogni paziente un codice identificativo alfa-numerico codificato. In nessuno dei documenti relativi allo studio appariranno informazioni identificative del paziente. Il responsabile del centro clinico archivierà i consensi informati originali in un armadietto chiuso a chiave. Il Coordinatore dello studio archivierà copia dei consensi informati in un armadietto chiuso a chiave e conserverà una lista dei partecipanti allo studio e dei loro codici in un file a doppio codice di identificazione”.

Nel protocollo è rappresentato, inoltre, che “Il responsabile dei dati e delle misure di anonimizzazione è lo Sperimentatore Principale. Solo gli sperimentatori inclusi nello studio avranno accesso ai dati ed ai risultati prima della loro pubblicazione. I nomi dei pazienti verranno resi anonimi, assegnando a ciascuno un valore alfanumerico codificato. [...] Alla fine dello studio, il Coordinatore dello studio distruggerà tale file eliminando tutti i legami tra i partecipanti allo studio, i dati e i campioni raccolti durante la ricerca dei pazienti inseriti nello studio”.

Sul punto, in sede istruttoria è stato chiarito che lo Sperimentatore principale (Primary investigator- PI), “in Azienda, è qualificato come persona espressamente designata ai sensi 2-quaterdecies del Codice. Con Provvedimento del Direttore Generale n. 378 del 24 maggio 2019 Regolamento generale sulla protezione dei dati 2016/679/UE. Determinazioni in materia di misure organizzative per l’adeguamento alla normativa europea: attribuzione di funzioni e compiti a soggetti specificamente designati ai sensi dell’art. 2-quaterdecies del d.lgs. 196/2003, in Azienda abbiamo ridefinito la persona espressamente designata come Preposto al trattamento dei dati, a significare la persona fisica che, appunto preposta ad una data attività, è specificamente responsabilizzata circa i trattamenti di dati a tale attività necessari, anche in riferimento alle persone autorizzate in essa coinvolte”.

È stato chiarito altresì che “le “misure di anonimizzazione” sono richiamate impropriamente, almeno laddove si osserva che i dati “verranno resi anonimi, assegnando a ciascuno un valore alfanumerico codificato”.

È rappresentato, poi, che “Ad ogni paziente vivente verrà somministrato un consenso informato scritto, che dovrà essere firmato dopo aver ricevuto le adeguate spiegazioni. Così come previsto dal Garante della privacy [...] i dati per scopi di ricerca scientifica verranno comunque trattati senza il consenso informato per i pazienti deceduti e/o comunque non contattabili al momento dell’arruolamento, dopo aver compiuto ogni ragionevole sforzo per contattarli (la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’́anagrafe degli assistiti o della popolazione residente)”.

A tale riguardo, nella sezione della valutazione d’impatto denominata “Come gli interessati sono informati del trattamento?” è indicato che “I dati per scopi di ricerca scientifica verranno comunque trattati senza il consenso informato per i pazienti deceduti e/o comunque non contattabili al momento dell’arruolamento, dopo aver compiuto ogni ragionevole sforzo per contattarli (la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l ́anagrafe degli assistiti o della popolazione residente)”.

Circa le ragioni per le quali informare alcuni interessati potrebbe risultare impossibile, l’Azienda ha osservato “che la popolazione coinvolta nello studio è caratterizzata da una mutazione (inserzione dell’esone 20) definita “rara” nel panorama delle mutazioni di EGFR, interessando l’1-2% della popolazione affetta da tumori polmonari non a piccole cellule. Recenti evidenze scientifiche hanno definito tale mutazione come di resistenza ai principali farmaci anti-EGFR, trovando come unica terapia attualmente in uso nella pratica la chemioterapia. Basandosi sui dati dello studio EXCLAIM e dati di analisi retrospettive la mediana della sopravvivenza globale per questa popolazione pretrattata con almeno una precedente linea di chemioterapia è in totale (data dalla somma dell’attività della prima linea e delle linee successive) inferiore ai 24 mesi. Pertanto, l’aggressività della malattia rende spesso necessaria la gestione di dati clinici post-mortem. L’Azienda è inoltre in grado, per quanto riguarda almeno gli iscritti al Servizio Sanitario Regionale che abbiano effettuato un ricovero, di verificarne lo stato in vita mediante un collegamento all’Anagrafe Sanitaria Regionale”.

Con riferimento ai pazienti contattabili è stato chiarito che è ”prevista la sottoscrizione da parte del paziente di due moduli distinti, uno relativo alla partecipazione alla ricerca (“Modulo di consenso informato per la partecipazione allo studio versione 1.0 del 30 luglio 2021”) e uno relativo all’uso dei dati personali a scopo di ricerca (“Dichiarazione di consenso al trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati UE 2016/679 e del d. lgs. 196/2003 versione 1.0 del 30 luglio 2021”) che fa seguito alla relativa informativa (“Informativa al trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati UE 2016/679 e del d. lgs. 196/2003 versione 1.0 del 30 luglio 2021”)” e che “si è pertanto proposto un modello di informativa per la ricerca osservazionale”.

In merito agli oneri informativi, è stato precisato inoltre che “La modalità con la quale, ai sensi dell’art. 6 comma 3 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica del 19 dicembre 2018, si intendono informare gli interessati non contattabili (ovvero deceduti, a beneficio di eventuali terzi legittimati ex art. 2-terdecies del Codice) in ordine ai trattamenti svolti, è rappresentata dalla pubblicazione dell’informativa sul sito istituzionale dell’Azienda”.

Con particolare riferimento alle modalità di raccolta e trattamento dei dati, nella Vip è ulteriormente precisato che i “dati vengono estrapolati dal sistema cartelle aziendale DnWeb e/o ArchiAmb che sono consultabili tramite accesso con credenziali personali o SPID. L’accesso con credenziali è vincolato al personale medico di ruolo assunto in Azienda (AOU Careggi) facente parte del gruppo di sperimentazione. Registrazione: I dati sono trasferiti e registrati sul portale RedCap [...] con accesso vincolato da user e password temporanei in possesso dei soli medici che vengono abilitati all’accesso per il singolo database [...]. La base dati è organizzata in 9 sezioni [...]. Ogni sezione ha alcuni campi dove inserire il dato con vincolo relativo alla tipologia di dato inserito [...]. La piattaforma genera un codice identificativo univoco associato ad ogni soggetto coinvolto nello Studio, che consente ai ricercatori di mantenere localmente l'associazione con i rispettivi dati anagrafici. La possibilità di risalire all'origine dei dati è giustificata dalla necessità di effettuare studi di follow up per i pazienti in cura presso le Unità Operative coinvolte. [...]. I dati acquisiti vengono conservati all’interno del suddetto data base per tutta la durata dello studio. [...] Ogni singolo centro tramite credenziali personali attivate una per PI e una subinvestigator, può accedere ai propri dati per visionarli e/o modificarli”.

La Vip indica correttamente che i dati sono trattati in forma pseudonimizzata. Essa poi riporta una sezione denominata “standard applicabili al trattamento” dove si rinviene l’indicazione “Es. Codici di condotta, Linee Guida, Standard internazionali”.

La Vip reca inoltre una sezione dedicata alla gestione dei rischi in cui l’Azienda si limita ad indicare le principali minacce che potrebbero concretizzare i rischi connessi al trattamento dei dati personali quali l’“accesso illegittimo ai dati”, “modifiche indesiderate dei dati” e la “perdita dei dati”.

A tale riguardo, il titolare ha ulteriormente chiarito che “Relativamente al rischio di accesso illegittimo ai dati, la probabilità del rischio si ritiene trascurabile in quanto i dati sono gestiti sul database in modalità pseudonimizzata, e il server che ospita il database è accessibile esclusivamente attraverso il protocollo https (TLS) con esclusione di ogni accesso di altro tipo (SMB, FTP o altri). Gli accessi sistemistici di servizio (per manutenzione o aggiornamenti software) sono consentiti solo attraverso protocolli criptati (ssh o simili) e soltanto da rete intranet aziendale. Le credenziali amministrative sono in possesso del solo personale autorizzato. Le credenziali di gestione dell’applicativo sono personali e rilasciate ai soli dipendenti autorizzati che sono stati istruiti riguardo la loro corretta custodia ed utilizzo.

Relativamente al rischio di modifiche dei dati, la loro probabilità si considera trascurabile alla luce delle misure pianificate I dati vengono sottoposti a backup giornaliero, con possibilità di rapido restore in caso si verifichi una modifica indesiderata. L’accesso in scrittura ai dati è riservato a utenti selezionati, ed avviene attraverso interfacce che minimizzano la probabilità di errore.

Relativamente al rischio di perdita dei dati, essa si valuta indefinita, ma sostanzialmente bassa. La stima considera le strutture hardware ridondate sulle quali si fonda il sistema, le procedure di backup sistematico e la resilienza intrinseca del data center che ospita l’applicativo. Per gli eventuali data loss causati da operatori infedeli, valgono le considerazioni dei punti precedenti (le persone autorizzate al trattamento sono estremamente limitate e motivate)”.

Sui tempi di conservazione dei dati è stato chiarito che “la durata dello studio è di 12 mesi, con un follow-up aggiuntivo di 30 mesi. A tale periodo va aggiunta una estensione per la conservazione dei dati a 7 anni, secondo la vigente normativa (gli studi osservazionali non essendo ricompresi nel Regolamento UE 536/2014, che per le sperimentazioni su farmaci e dispositivi estende la conservazione ad “almeno 25 anni”)”. In particolare, tale periodo di conservazione di almeno 7 anni è stato “desunto dall’art. 18 del D.Lgs. 6 novembre 2007, n. 200 Attuazione della direttiva 2005/28/CE recante principi e linee guida dettagliate per la buona pratica clinica relativa ai medicinali in fase di sperimentazione a uso umano, nonché' requisiti per l'autorizzazione alla fabbricazione o importazione di tali medicinali” anche alla luce del fatto che “Tale regolazione era citata nel Provvedimento di codesta Autorità n. 52 del 24 luglio 2008 recante Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali, nelle quali, al § 13, si richiamavano gli studi osservazionali”.

Il predetto termine è infatti “parso congruo tanto a questa Azienda che al Comitato Etico territorialmente competente (Comitato Etico di Area Vasta Centro - CEAVC) in particolare soprattutto in riferimento agli studi osservazionali, per i quali la conservazione dei dati è sostanzialmente funzionale ad una eventuale successiva verifica del corretto utilizzo delle informazioni raccolte ed elaborate”.

L’Azienda ha precisato di conservare “una lista dei partecipanti allo studio e dei loro codici in un file a doppio codice di identificazione (per ogni soggetto arruolato vengono indicati iniziali di nome e cognome in uno stesso campo e data di nascita nel formato DD-MM-YYYY), e alla fine dello Studio, distruggerà tale file eliminando la correlazione tra dati e pazienti, ed aggregando i dati secondo un valore di soglia pari a 4; se tale valore non sarà raggiungibile, i dati saranno cancellati”.

Sotto altro profilo, tenuto conto che lo Studio è volto (anche) a valutare l’efficacia di un farmaco, nonché se del caso a raccogliere e trasmettere allo sponsor notizie circa eventuali eventi avversi, l’Azienda ha chiarito che “[...] il trattamento riguarda uno studio osservazionale relativo ad un farmaco dispensato per uso compassionevole, autorizzato da un programma AIFA e, per ogni paziente, da uno specifico parere del CEAVC. Tale farmaco era effettivamente in sperimentazione, ma EMA, con comunicazione del 19 agosto 2022, ci ha comunicato che la casa farmaceutica aveva ritirato la richiesta di autorizzazione alla immissione in commercio il 20 luglio 2022. L’uso compassionevole prescinde dalla sperimentazione, e la base giuridica della comunicazione non appare dunque rappresentata dal Regolamento 536/2014 (art. 41), ma dal Decreto 7 settembre 2017, che all’art. art.1, c.1, f prevede appunto l’indicazione di uso terapeutico nominale (IPRP - programma di richiesta individuale del paziente) e, in particolare, relativamente alla comunicazione degli eventi avversi, all’art. 7 comma 2”. prescrive quanto segue: I medici e gli altri operatori sanitari, nell'ambito della propria attività, sono tenuti a segnalare al responsabile di farmacovigilanza della struttura sanitaria di appartenenza del segnalatore stesso o direttamente alla Rete nazionale di farmacovigilanza attraverso il portale web dell'AIFA e al Comitato etico competente, le sospette reazioni avverse, specificando che si tratta di un medicinale utilizzato ai sensi del presente decreto; la segnalazione deve essere inviata entro due giorni e, per i medicinali di origine biologica non oltre le trentasei ore, in modo completo e secondo le modalità pubblicate sul sito istituzionale dell'AIFA. Successivamente sarà cura del responsabile di farmacovigilanza della struttura sanitaria di appartenenza del segnalatore notificare la segnalazione all'AIFA e dell'Azienda che ha fornito il medicinale utilizzato ai sensi del presente decreto secondo la modalità e le tempistiche previste dal decreto del Ministro della salute 30 aprile 2015. La finalità è dunque quella prevista dall’art. 2 sexies comma 2 lettera z) del Codice, per la voce relativa alla Farmacovigilanza”.

2. La normativa applicabile

In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali.
In base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza» (art. 5, par. 1, lett. a) del Regolamento).

Il principio di liceità, richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni a tale divieto tra le quali è previsto il consenso dell’interessato.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Con specifico riferimento alle particolari categorie di dati, tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere non solo esplicito ma anche manifestato per iscritto (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637).

In tale ambito, il Comitato europeo per la protezione dei dati personali in relazione alle sperimentazioni cliniche ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. Le disposizioni del capo V del regolamento sulla sperimentazione clinica relative al consenso informato, in particolare l'articolo 28, rispondono principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki. L'obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all'integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell'Unione europea; non è concepito per rispettare gli obblighi in materia di protezione dei dati. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), Adottato il 23 gennaio 2019).

Si evidenzia poi, il principio di limitazione della conservazione in base al quale i dati devono essere e conservati solo per il tempo necessario al perseguimento degli scopi della raccolta (art. 5, par. 1 lett. e) del Regolamento).

In tale quadro, il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato altresì nel rispetto del Codice, delle Prescrizioni e delle Regole deontologiche, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d.lgs. 10 agosto 2018, n. 101).

Nello specifico, rileva l’art. 110 del Codice che riguarda la ricerca medica, biomedica ed epidemiologica e dispone che “Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando […] a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”.

A tale riguardo, “quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca” (cfr. punto 5.3 delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica).

I dati personali, inoltre, devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi.

Si evidenzia inoltre che la richiamata normativa prevede che, qualora i dati siano ottenuti presso terzi, come nel caso in esame, il titolare del trattamento possa non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui comunicare tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento).

Sul punto, le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, prevedono che, qualora il titolare raccolga i dati personali presso terzi e fornire l’informativa all’interessato comporti uno sforzo sproporzionato rispetto al diritto tutelato, esso debba adottare idonee forme di pubblicità, indicando a titolo esemplificativo talune specifiche modalità (art. 6, comma 3).

La disciplina in materia di protezione dei dati personali riguarda anche i dati oggetto di preventiva pseudonimizzazione, intendendosi per tale: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5 del Regolamento). La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca scientifica in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (art. 5, par. 1, lett. c) e 89 del Regolamento).

La disciplina in materia di protezione dei dati personali non trova invece applicazione in relazione ai dati anonimi. A tale riguardo, giova inoltre precisare che si considerano anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

In particolare, l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Il dato anonimizzato, invero, è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

Da ultimo, con riferimento alla valutazione d’impatto, il Regolamento individua il contenuto minimo di tale documento tra cui rileva in particolare la valutazione dei rischi per i diritti e le libertà degli interessati e le misure per affrontare i rischi individuati che devono includere le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento (art. 35, par. 7, lett. c) e d); Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per  stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248rev.01, adottate il 4 aprile 2017,come modificate e adottate da ultimo il 4 ottobre 2017).

3. Le valutazioni dell’Autorità

3.1. Le basi giuridiche del trattamento dei dati

Dalla documentazione esaminata e all’esito dell’istruttoria preliminare svolta, il Garante ritiene che l’Azienda abbia correttamente individuato le basi giuridiche del trattamento, specificando adeguatamente, come meglio descritto nel paragrafo 1, i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso. Tale circostanza risulta, in particolare, correlata al probabile decesso della maggior parte dei pazienti che si intendono arruolare a causa dell’elevata incidenza di mortalità della patologia osservata nonché al ragionevole e proporzionato sforzo che si intende operare per provare comunque a contattare ciascuno di loro anche tramite l’anagrafe sanitaria regionale e l’anagrafe della popolazione residente (punto 5.3 delle Prescrizioni). Sotto altro profilo, in conformità alla disposizione di cui all’art. 110, comma 1, secondo periodo del Codice, in base alla quale il programma di ricerca deve essere preventivamente oggetto di motivato parere favorevole dei competenti comitati etici a livello territoriale, resta fermo che i Centri partecipanti potranno dare inizio ai trattamenti dei dati personali necessari per la realizzazione dello Studio solo dopo l’ottenimento dei pareri favorevoli dei rispettivi comitati etici, in quanto la presenza di tale elemento si configura quale condizione di liceità del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr.  provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

3.2. Misure ai sensi dell’art. 89 del Regolamento

Il Garante preso atto dei chiarimenti da ultimo forniti dall’Azienda la quale ha dichiarato di aver impropriamente utilizzato il termine “anonimizzazione dei dati” nell’ambito dei trattamenti svolti per la realizzazione dello Studio, trattandosi invece di dati pseudonimizzati, rileva come la predetta Azienda, abbia dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di minimizzazione attuata attraverso specifiche misure di pseudonimizzazione durante tutta la fase del trattamento, come indicate nella documentazione agli atti del procedimento e sinteticamente descritte nel precedente paragrafo 1 .

In ordine all’anonimizzazione dei dati, prevista al termine del periodo di conservazione indicato in 7 anni, anche al fine di consentire, la diffusione dei risultati dello Studio, l’Azienda ha dichiarato che, eliminata la lista di correlazione tra gli identificativi diretti dei pazienti e i codici pseudonimi attribuiti a ciascuno di essi, i dati saranno aggregati “[...] secondo un valore di soglia pari a 4; se tale valore non sarà raggiungibile, i dati saranno cancellati”.

Con riferimento alle citate tecniche di aggregazione, è tuttavia necessario considerare che la disponibilità di un numero elevato di statistiche aggregate rispetto ad un campione composto da un numero molto limitato di pazienti, può aumentare il potere identificativo di ciascuna di esse, fino alla possibile completa ricostruzione di un dataset (cd “reconstruction attack”). Per evitare ciò, il numero delle statistiche oggetto di diffusione deve essere significativamente inferiore rispetto al numero delle variabili che si intendono divulgare. In altri termini, assicurando la diffusione di un numero contenuto di statistiche, si evita che attraverso calcoli matematici, si possa pervenire all’identificazione dei singoli soggetti facenti parte del campione.

Tutto ciò premesso, si ritiene necessario che l’Azienda, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, indicato in 7 anni, in considerazione del numero di variabili oggetto di aggregazione, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate; ciò, al fine di scongiurare il rischio di ricostruzione di dati riferibili a singoli individui.

Inoltre, nell’ambito delle verifiche periodiche che il titolare del trattamento è tenuto a svolgere anche in riferimento alla persistenza dell’efficacia delle misure di anonimizzazione dei dati e all’evoluzione tecnologica, si ritiene necessario che l’Azienda si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nel dataset (cfr., sul punto, il Parere reso il 30 giugno 2022, disponibile in www.gpdp.it doc. web 9791886).

3.3. I ruoli di protezione dei dati personali dei soggetti coinvolti nello Studio

Nella documentazione trasmessa dall’Azienda, nel rappresentare la natura multicentrica dello Studio, viene dichiarato che gli enti che vi partecipano, in qualità di Centri partecipanti, operano quali autonomi titolari del trattamento e che lo Sperimentatore principale è qualificato come persona espressamente designata ai sensi 2-quaterdecies del Codice che è ”specificamente responsabilizzata circa i trattamenti di dati a tale attività necessari, anche in riferimento alle persone autorizzate in essa coinvolte”

A tale riguardo, si ritiene che la struttura organizzativa implementata per la realizzazione dello Studio sia conforme al quadro normativo in materia di protezione dei dati personali e in quanto tale idonea a escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dai pazienti arruolati nel richiamato Studio e conforme al principio di correttezza e trasparenza (art. 5, par. 1 lett. a) del Regolamento e Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, Versione 2.0 Adottate il 7 luglio 2021 ).

3.4. Le misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati nello Studio

In relazione agli oneri informativi, in primo luogo si osserva che il modello di informativa acquisito agli atti del procedimento, (cfr. documento denominato “Allegato 4_Informatva e consenso”) è solo quello relativo alle informazioni da rendere agli interessati ancora in vita ai sensi dell’art. 13 del Regolamento, rispetto al quale si rileva che:

nel documento acquisito agli atti, le basi giuridiche del trattamento, ivi inclusi i trattamenti effettuati ex lege come quelli relativi alle attività di farmacovigilanza, non risultano chiaramente rappresentati agli interessati né il presupposto giuridico in base al quale viene effettuato l’eventuale trasferimento dei dati verso Paesi terzi (cfr. artt. 13, par. 1 lett. c), 14, par. 1 lett. c), 45 e ss del Regolamento e punto 12 e ss delle Linee guida sulla trasparenza ai sensi del regolamento 2016/679 adottate dal Gruppo di lavoro articolo 29, il 29 novembre 2017, Versione emendata adottata l’11 aprile 2018).

in caso di revoca del consenso da parte dell’interessato, seppure tutti i trattamenti che si fondano sul consenso restano legittimi, non risulta specificato che il titolare deve cessare le attività di trattamento, in assenza di altra base giuridica che ne giustifichi la conservazione per ulteriori trattamenti e che pertanto i dati andranno cancellati (cfr. punti 22 e ss. del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b)), cit.);

l’indicazione nel punto 4, rubricato “conservazione dei dati” del diritto dell’interessato “di chiedere, in qualsiasi momento, l'eliminazione dei dati, nel rispetto del GDPR e della legge sulla protezione dei dati” non risulta pertinente visto il diritto di cancellazione indicato al successivo punto 5, rubricato “esercizio dei diritti”.

Si rende pertanto necessario che l’Azienda modifichi in tal senso il documento trasmesso.

Con specifico riguardo alle modalità per fornire le informazioni agli interessati non contattabili, l’Azienda, ha dichiarato che l’informativa per i pazienti non contattabili, predisposta ai sensi dell’art. 14, par. 5, lett. b) del Regolamento verrà pubblicata sul proprio sito Internet.

Ciò premesso, tenuto conto che lo Studio coinvolge numerosi Centri partecipanti oltre al Promotore, anche al fine di assicurare l’effettiva applicazione dei richiamati principi di correttezza e trasparenza, si ritiene necessario che l’Azienda renda pubbliche, per tutta la durata dello Studio, le informazioni da fornire agli interessati, ai sensi dell’art. 14 del Regolamento, anche attraverso una specifica inserzione anche sui siti internet istituzionali dei centri di sperimentazione coinvolti nello Studio in una sezione facilmente accessibile.

3.5. Le misure di sicurezza implementate

L’Azienda, quale titolare del trattamento, come sopra richiamato e come richiesto dalla procedura ex artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la Vip connessa ai trattamenti necessari per la realizzazione dello Studio nella quale sono individuate in particolare le misure tecniche e organizzative sinteticamente descritte nel paragrafo 1, previste per la sicurezza dei dati trattati.

Deve notarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Da tale documento, oltre a quanto evidenziato nel precedente paragrafo 1, emerge che l’Azienda, al fine di garantire il rispetto del principio di integrità e riservatezza, ha predisposto misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla Azienda Ospedaliera Universitaria Careggi, con sede legale in Largo G.A. Brambilla, 3 - 50134 Firenze, C.F. e P.I.: 04612750481, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti deceduti o non contattabili arruolati nello studio multicentrico, “studio [italiano] osservazionale multicentrico retrospettivo e prospettico per valutare la sicurezza e l'efficacia di mobocertinib in pazienti pretrattati con carcinoma polmonare non a piccole cellule metastatico con esone20ins dell'EGFR. (MOBO-real)” a condizione che l’Azienda:

a) al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, in considerazione del numero di variabili oggetto di aggregazione, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate (punto 3.2);

b) nell’ambito delle verifiche periodiche che il titolare del trattamento è tenuto a svolgere anche in riferimento alla persistenza dell’efficacia delle misure di anonimizzazione dei dati e all’evoluzione tecnologica, si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nel dataset (punto 3.2);

c) modifichi l’informativa resa agli interessati, ai sensi dell’art. 13 del Regolamento (punto 3.4):

indicando chiaramente le basi giuridiche del trattamento ivi incluso il presupposto giuridico in base al quale viene effettuato l’eventuale trasferimento dei dati verso Paesi terzi;

specificando, in caso di revoca del consenso da parte dell’interessato, che il titolare deve cessare le attività di trattamento in assenza di altra base giuridica che ne giustifichi la conservazione per ulteriori trattamenti e che pertanto i dati saranno cancellati;

eliminando nel punto 4 rubricato “conservazione dei dati” del documento denominato “Allegato 4_Informatva e consenso”, il diritto dell’interessato “di chiedere, in qualsiasi momento, l'eliminazione dei dati, nel rispetto del GDPR e della legge sulla protezione dei dati” in quanto il diritto alla cancellazione risulta già menzionato al successivo punto 5, rubricato “esercizio dei diritti”.

d) renda pubbliche le informazioni da fornire agli interessati, ai sensi dell’art. 14 del Regolamento, anche attraverso una specifica inserzione anche sui siti internet istituzionali dei centri di sperimentazione coinvolti nello Studio in una sezione facilmente accessibile (punto 3.4).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei