[doc. web n. 9936136]

Provvedimento del 31 agosto 2023

Registro dei provvedimenti
n. 364 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva, presentata con nota del 20 dicembre 2022, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla Società Daiichi Sankyo Europe GmbH con sede a Monaco, in qualità di rappresentante, nominato ai sensi dell’art. 27 del Regolamento, dal titolare del trattamento non stabilito nell’Unione, Daiichi Sankyo con sede legale in 211 Mt. Airy Road, Basking Ridge, New Jersey, 07920 USA;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

La Società Daiichi Sankyo, con sede legale in 211 Mt. Airy Road, Basking Ridge, New Jersey, 07920 USA (di seguito “Società” o “Sponsor”), ha avanzato un’istanza di consultazione preventiva, ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento in relazione allo studio “European Real-world experience of previously treated advanced/metastatic HER2-positive breast cancer patients Accessing trastuzumab deruxtecan through a named patient program” titled” EUROPA T-DXd” (Esperienza europea del mondo reale di pazienti con carcinoma mammario HER2-positivo avanzato/metastatico trattate in precedenza con il farmaco Trastuzumab Deruxtecan tramite un programma nominale di uso compassionevole, di seguito “Studio”), allegando, in particolare, la valutazione di impatto sulla protezione dei dati, svolta ai sensi dell’art. 35 del Regolamento, i pareri di alcuni dei comitati etici territorialmente competenti, nonché “i moduli per il consenso informato ai comitati etici” e le “Clausole di protezione dei dati” [incluse nei contratti stipulati con i centri di sperimentazione in Italia].

Si tratta di un progetto di Real World Data Collection (RWDC) relativo al farmaco Trastuzumab Deruxtecan o T-DXd da realizzarsi in alcuni Paesi dell'Unione Europea (UE), tra cui, allo stato, Italia, Spagna e Irlanda.

L’istanza di consultazione preventiva è stata ritenuta necessaria poiché lo Studio prevede la raccolta di dati riferiti a pazienti che, anche in Italia, possono risultare deceduti o non contattabili, in quanto dispersi al follow up. Cionondimeno, la loro partecipazione si rende necessaria per il perseguimento degli obiettivi dello Studio, ovvero per una valutazione completa del farmaco che può portare benefici per le cure dei pazienti futuri.

Come anticipato, lo Sponsor e titolare del trattamento dei dati necessari per la realizzazione del progetto è la Società Daiichi Sankyo con sede negli Stati Uniti d’America. Tale Società, non essendo stabilità nell’Unione, ha nominato la Società Daiichi Sankyo Europe GmbH, con sede a Monaco quale proprio rappresentante nel territorio dell’Unione europea, ai sensi dell’art. 27 del Regolamento.

Lo Sponsor ha stipulato un contratto con la CRO (Clinical Research Organization), Bionical Emas con sede nel Regno Unito, per la realizzazione, per suo conto, dello Studio. La società Bionical Emas è stata nominata responsabile del trattamento dei dati, ai sensi dell’art. 28 del Regolamento.

Nello specifico, Bionical Emas è attualmente incaricata dallo Sponsor di gestire un programma per pazienti (che soddisfano specifici criteri di eleggibilità) con tumore al seno HER2+ in stadio avanzato e metastatico, che sono state sottoposte ad almeno due precedenti regimi di trattamento anti-HER2, nei Paesi sopra citati (studio “NPP”) che sarà la base dello Studio in esame.

Lo Studio prevede il coinvolgimento di n. 7 (sette) centri di sperimentazione in Italia, che effettueranno i relativi trattamenti di propria competenza quali autonomi titolari, con i quali lo Sponsor ha stipulato o sta stipulando specifici contratti di sperimentazione. Lo Studio verrà avviato solo dopo la conclusione dei contratti e l’approvazione dello stesso da parte dei comitati etici territorialmente competenti.

Lo scopo principale dello Studio è quello di valutare gli esiti del trattamento del farmaco “Trastuzumab Deruxtecan” o “T-DXd e in particolare il tempo effettivo di interruzione del trattamento in pazienti con tumore alla mammella HER2+ avanzata/metastatica, a beneficio di pazienti future. Tale ricerca è finalizzata, in termini più generali, a promuovere il miglioramento dei risultati delle cure per le pazienti.
Lo Studio prevede la raccolta di dati personali relativi a pazienti, per un totale di circa 200 che, sulla base di un apposito consenso, hanno già preso parte o stanno prendendo parte al richiamato progetto “NPP”, attraverso la raccolta di dati provenienti dalle loro cartelle cliniche e dalle visite mediche di routine in linea con la pratica clinica. Alcune di queste pazienti tuttavia potrebbero essere non contattabili a causa della loro perdita al follow-up ovvero decedute; per il trattamento dei dati personali relativi a queste ultime pazienti si è resa pertanto necessaria la consultazione preventiva in esame.

Per quanto riguarda le pazienti in vita e quindi contattabili, la base giuridica del trattamento dei dati è stata individuata nel consenso, ai sensi dell’art. 9, par. 2, lett. a) del Regolamento; tali pazienti riceveranno dai loro medici curanti un modulo di consenso informato che dovrà essere compilato e firmato prima della raccolta dei dati per la loro partecipazione allo Studio.

Il titolare del trattamento ha rappresentato che le partecipanti saranno considerate perse al follow-up dopo almeno 3 tentativi di contatto (tramite telefono/lettera) che saranno effettuati in un arco temporale di otto settimane e documentati da un incaricato dello Sponsor nella cartella clinica della paziente. È stato evidenziato, inoltre, che in singoli casi la raccolta del consenso può risultare difficile a causa di (ma non solo) uno dei seguenti motivi:

− indisponibilità e/o oggettiva impossibilità organizzativa dovuta alla limitata disponibilità di indirizzi o numeri di telefono completi e aggiornati del paziente;

− o indisponibilità e/o oggettiva impossibilità organizzativa dovuta all'alta percentuale di pazienti non più seguiti dai siti in quanto trasferiti.

A tale riguardo, il titolare ha trasmesso in atti la dichiarazione sostitutiva di consenso informato per studi osservazionali retrospettivi dei centri partecipanti.

I richiamati documenti, fatta eccezione per quello del policlinico Gemelli di Roma, fanno tra l’altro esplicito riferimento all’”Autorizzazione generale del Garante al trattamento dei dati personali effettuato per scopi di ricerca scientifica”.

Il titolare del trattamento ha rappresentato altresì che l'impegno richiesto per ottenere il consenso delle pazienti non più seguite è oggettivamente sproporzionato rispetto agli obiettivi dello Studio e rischia di rendere impossibile o di compromettere seriamente il raggiungimento degli scopi della ricerca per i quali è necessario analizzare anche i dati di tali pazienti.

Nella valutazione di impatto tra le basi giuridiche del trattamento è indicato altresì il legittimo interesse del titolare, oltre che le misure ai sensi dell’art. 89 del Regolamento, indispensabili per perseguimento di scopi di ricerca.

Nel rappresentare che nella valutazione di impatto sono state individuate misure tecniche e organizzative idonee a ridurre ad un livello accettabile i rischi connessi al trattamento ed assicurare tutela ai diritti e alle libertà fondamentali delle interessate, lo Sponsor ha indicato, in particolare, che i dati saranno "pseudonimizzati" alla fonte, “criptati in transito e a riposo”. I dati personali delle partecipanti inseriti nelle eCRF dal personale del centro di sperimentazione aderente saranno quindi informazioni pseudonimizzate. Solo i dati pseudonimizzati saranno accessibili alla CRO Bionical Emas e allo Sponsor. I dati direttamente identificativi e le tabelle di correlazione saranno conservati dal centro partecipante e conosciute solo dal personale autorizzato per lo svolgimento delle proprie funzioni. Il sistema IBM Data Capture, compreso l'eCRF, in cui i dati saranno inseriti dal personale del centro, sarà configurato in modo che l'eCRF a cui accede il personale del centro sia chiara e consenta l’accesso solo ai dati richiesti in forma pseudonimizzata. L'accesso ai dati è in ogni caso altamente limitato, l'accuratezza dei dati è controllata e quelli non più necessari sono conservati in modo sicuro secondo i periodi di conservazione applicabili. Come ulteriore misura è previsto che quando il personale competente di Bionical Emas avrà accertato l’accuratezza e la completezza dei dati, essi saranno limitati alla sola lettura.

Lo Sponsor memorizzerà i dati sulla propria piattaforma CDR protetta. Una volta che i dati sono stati "bloccati" da Bionical Emas, saranno da quest’ultima scaricati e inviati (via e-mail sicura) al suo file elettronico di gestione della sperimentazione (eTMF), che è un sistema Trial Interactive.

La CRO trasferirà i dati allo Sponsor (negli Stati Uniti e in Germania) attraverso un sistema “SharePoint”. I dati potranno essere consultati da un numero limitato di persone dello Sponsor in diverse località (Stati Uniti e Germania), in base a specifiche necessità correlate raggiungimento degli scopi dello Studio e solo previa adeguata formazione.

I dati pseudonimizzati non saranno condivisi se non tra il personale dedicato di Bionical Emas e lo Sponsor per l'adempimento degli obblighi di legge.

Bionical Emas e lo Sponsor si atterranno ai periodi di conservazione/cancellazione richiesti da disposizioni normative e linee guida vigenti nei Paesi presso i quali si svolgerà lo Studio.

I risultati finali dello studio RWD potranno essere pubblicati per scopi di reporting e scientifici, ma in questa fase tali dati saranno interamente anonimizzati, quindi non si applicheranno le disposizioni del Regolamento

Ove possibile, a ciascuna interessata arruolata nello Studio verranno fornite informazioni sul trattamento dei dati personali coinvolti nel Progetto e sui diritti loro spettanti in base alla normativa di settore, salvo per i partecipanti per i quali si fa affidamento su una deroga/esenzione dal consenso, ferma restando l’implementazione di altre salvaguardie e garanzie.

Alcuni dei contratti di sperimentazione stipulati con i centri partecipanti includono la possibilità che l’attività di monitoraggio dello Sponsor venga svolta da remoto specificando al riguardo che “non sono autorizzate videoregistrazioni, fotografie di documentazione clinica, trasferimento di dati mediate piattaforme elettroniche”.

Lo Sponsor ha precisato di avere già ottenuto il parere dei comitati etici di n. 5 centri partecipanti in Italia (Istituto Nazionale Tumori IRCCS, Pascale, Napoli; Fondazione Policlinico Universitario Agostino Gemelli; Istituto Oncologico Veneto; Università Campus Bio-Medico di Roma; Centro di riferimento Oncologico (CRO)) e di essere in attesa di quelli degli altri 2 centri coinvolti (Policlinico Umberto I di Roma, Breast Center Humanitas Cancer Center).

È stato evidenziato, infine, che l'Agenzia Italiana del Farmaco (AIFA) ha dato atto della conoscenza del richiamato studio il 28 gennaio 2022, non essendo tenuta a rilasciare approvazioni per gli studi osservazionali.

L’Ufficio del Garante, rilevando talune criticità in riferimento all’istanza di consultazione preventiva avanzata, con nota del 20 gennaio 2023 (prot. n. 9122) ha formulato, ai sensi dell’art. 157 del Codice, una richiesta di informazioni, al fine di ottenere maggiori elementi e chiarimenti in ordine a specifici aspetti.

Più precisamente, da un punto di vista formale, diversamente da quanto richiesto dall’art. 110 del Codice, non risultava trasmesso in atti il Protocollo dello Studio.

Con specifico riferimento alle basi giuridiche del trattamento, non appariva chiara, né pertinente, l’indicazione -nella valutazione d’impatto- di basi giuridiche differenti dal consenso degli interessati e dalla consultazione preventiva ai sensi dell’art. 110 del Codice, con particolare riferimento a quella del legittimo interesse del titolare, ciò in quanto essa può riguardare solo il trattamento dei dati cc.dd. comuni (art. 6, par. 1, lett. e) del Regolamento).

Nella documentazione in atti, non risultavano indicate le modalità previste per informare le interessate non contattabili o decedute (per queste ultime a beneficio di eventuali terzi legittimati ex art. 2-terdecies del Codice) in ordine ai trattamenti svolti, né risultava trasmessa in atti copia del testo della richiamata informativa (artt. 13 e 14, par. 5, lett. b) del Regolamento e art. 6, comma 3 Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice).

Non veniva indicato inoltre per quanto tempo il titolare del trattamento intendesse conservare i dati raccolti per la realizzazione dello Studio, né rappresentate conseguentemente le ragioni per cui tale tempo fosse ritenuto necessario e proporzionato per il conseguimento delle finalità per le quali i dati sono raccolti ovvero in base a quali specifici obblighi di legge (art. 5, par. 1, lett. e) del Regolamento).
Non erano rappresentate le tecniche implementate per l’anonimizzazione dei dati al fine della comunicazione degli stessi a soggetti terzi per finalità di reporting o di pubblicazioni scientifiche.

Tenuto conto, infine, che la CRO e lo Sponsor dello Studio hanno sede al di fuori del territorio dell’Unione europea (rispettivamente Regno Unito e Stati Uniti d’America), l’Ufficio ha ritenuto necessario richiedere una specifica e puntuale indicazione in ordine alle condizioni che legittimano il trasferimento dei dati versi paesi terzi, ai sensi degli artt. 44, 45, 46 o 47 del Regolamento.

Con nota del 17 febbraio 2023 la Società ha fornito riscontro all’Ufficio, innanzi tutto fornendo copia del protocollo dello Studio, necessario in sede istruttoria, non solo in quanto previsto dall’art. 110 del Codice ma anche al fine di rappresentare compiutamente lo scopo scientifico del progetto e di conseguenza dei correlati trattamenti.

In tale ambito, la Società ha in primo luogo dichiarato di avere nominato come CRO una diversa società, la Optimapharm d.o.o, con sede in Croazia.

Con riferimento alle modalità con le quali si intende provare ad informare gli interessati che sono risultati non contattabili, la Società ha dichiarato di voler inviare una copia dell’informativa agli indirizzi di questi ultimi noti ovvero attraverso contatti telefonici.

In ordine ai tempi di conservazione dei dati trattati per la realizzazione dello Studio, la Società ha dichiarato che sia lo Sponsor che la CRO (Optimapharm d.o.o.) cancelleranno i dati raccolti quando questi non saranno più necessari e che comunque la conservazione non si protrarrà per oltre 15 anni dalla raccolta.

La Società non ha fornito alcuno specifico riscontro in ordine alle tecniche di anonimizzazione dei dati, limitandosi a ribadire la procedura per la pseudonimizzazione dei dati prevista per la fase di raccolta e per i successivi trattamenti dei dati.

Con riferimento alle condizioni di liceità per il trasferimento dei dati al di fuori del territorio dell’Unione europea, la Società ha dichiarato in primo luogo di avere conferito il ruolo di CRO alla sopra citata Società croata Optimapharm d.o.o.) e di operare i richiamati trasferimenti in forza di specifiche Standard Contractual Clauses.

Con nota del 14 marzo 2023 (prot. n. 44586), l’Ufficio, rilevando la persistenza di talune criticità, ha ritenuto opportuno avviare un supplemento istruttorio richiedendo specifiche informazioni in ordine:

alle modalità con cui si intendono fornire alle pazienti non contattabili le informazioni di cui al richiamato art. 14 del Regolamento, anche secondo le modalità di cui al par. 5, lett. b) del medesimo articolo del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche;

ai tempi di conservazione e alla loro proporzionalità alla luce dello scopo della raccolta. Ciò tenuto anche conto che essi risultavano diversamente indicati nella nota di riscontro del 17 febbraio 2023 e nel protocollo dello Studio (nel primo documento è riportato un periodo di conservazione dei dati personali di 15 anni, mentre nel secondo di 10 anni);

le tecniche che si intendono implementare per l’anonimizzazione dei dati trattati.

Con nota del 24 marzo 2023 (pervenuta agli atti dell’Ufficio in data 28 aprile 2023), la Società ha fornito riscontro all’Ufficio, dichiarando, ai sensi dell’art. 168 del Codice, in particolare, quanto segue.

In ordine alle informazioni da rendere alle interessate non contattabili, la Società ha confermato di voler provare a contattare le predette pazienti con l’invio delle informative al loro indirizzo di residenza noto o a seguito di contatti telefonici e che informazioni sullo studio sono disponibili sul sito clinicaltrials.gov, all’indirizzo https://clinicaltrials.gov/ct2/show/NCT05458401?term=Europa&cond=breast+cancer&cntry=IT&draw=2&rank=2. La Società ha quindi trascritto nella nota di riscontro il messaggio informativo che si intenderebbe comunicare agli interessati, che non corrisponde tuttavia a quanto indicato agli articoli 13 e 14 del Regolamento.

A tale riguardo, la Società ha precisato che la pubblicazione sul sito web dello Sponsor e dei siti partecipanti non è stata pianificata dallo Sponsor, in quanto la partecipazione allo Studio non offre alcuna nuova opzione terapeutica al paziente, trattandosi solo di una raccolta di dati. Di solito la pubblicazione su pagine web serve a informare i pazienti su potenziali nuovi trattamenti.

Con riferimento ai tempi di conservazione è stato indicato che questi corrisponderanno ad almeno 10 anni, precisando al riguardo che poiché il Regolamento non prevede un periodo di conservazione specifico per i dati personali, si è ritenuto che un periodo di almeno 10 anni rappresenti un punto in comune tra le normative specifiche dei singoli Paesi in materia di sperimentazione clinica per gli studi osservazionali/RWDC in Europa e che è stata considerata la possibilità che questi dati vengano controllati dalle autorità regolatorie del Paese o dall'EMA.

Infine, in relazione alle tecniche di anonimizzazione, è stato indicato che le tecniche di anonimizzazione dei dati comunicati a terzi consisteranno nel ridurre i dati a un livello generale (aggregato) o nel convertirli in statistiche in modo che le persone non possano più essere identificate. Non saranno condivisi dati riconducibili al paziente.

Con nota del 16 maggio 2023, prot. n. 78313, l’Ufficio, chiarendo ulteriormente i rilevanti principi applicabili al trattamento, ha richiesto taluni ulteriori specifici chiarimenti alla Società in ordine alle modalità previste per informare gli interessati e ai tempi di conservazione dei dati trattati (artt. 5, par. 1, lett. a) e e) 13 e 14 del Regolamento).

Con nota del 24 maggio 2023 la società, riscontrando tale richiesta, in riferimento ai tempi di conservazione ha dichiarato che, tenuto conto che la direttiva 2005/28/CE della Commissione dell'8 aprile 2005 -che stabilisce i principi e le linee guida dettagliate per la buona pratica clinica relativa ai medicinali in fase di sperimentazione a uso umano nonché i requisiti per l'autorizzazione alla fabbricazione o importazione di tali medicinali- all'articolo 17 stabilisce che lo sponsor e lo sperimentatore conservano i documenti essenziali relativi a una sperimentazione clinica per almeno cinque anni dopo il suo completamento e tenuto conto del periodo di esecuzione dello studio (stimato in 1 o 2 anni in totale), si ritiene che un periodo di 10 anni per l'archiviazione dei documenti risulti necessario per tutte le esigenze di conservazione dei dati di tale Studio.

Con riferimento agli oneri informativi correlati al trattamento dei dati personali riferiti a soggetti non contattabili o deceduti (in tal caso a beneficio dei relativi aventi causa ai sensi dell’art. 2-quaterdecies del Codice), lo Sponsor ha chiarito che le  informative, complete di tutti gli elementi di cui all'articolo 14 del Regolamento, saranno pubblicate sul sito web che potrebbe essere accessibile ai pazienti (come, ad esempio, il sito web dello sponsor e dei centri partecipanti o altri siti web).

2. La normativa applicabile

In via preliminare, si rappresenta che in base al Regolamento, i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (principio di «liceità, correttezza e trasparenza» (art. 5, par. 1, lett. a) del Regolamento UE 679/2016, di seguito Regolamento).

Il principio di liceità richiede che ogni trattamento si fondi su uno specifico presupposto giuridico (art. 6 del Regolamento). In relazione alle particolari categorie di dati, tra cui rientrano quelli sulla salute, l’art. 9 del Regolamento sancisce un generale divieto al trattamento a meno che non ricorra una delle specifiche esenzioni di cui al paragrafo 2 del medesimo articolo, tra le quali è previsto il consenso dell’interessato.

Nel caso in cui la condizione di liceità sia rappresentata dal consenso esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile consentendo il trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Con specifico riferimento alle particolari categorie di dati, tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere non solo esplicito ma anche manifestato per iscritto (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637).

In tale ambito, il Comitato europeo per la protezione dei dati personali in relazione alle sperimentazioni cliniche ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. Le disposizioni del capo V del regolamento sulla sperimentazione clinica relative al consenso informato, in particolare l'articolo 28, rispondono principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki. L'obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all'integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell'Unione europea; non è concepito per rispettare gli obblighi in materia di protezione dei dati. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b)), Adottato il 23 gennaio 2019).In astratto il Regolamento non vieta forme di arruolamento dei pazienti o di monitoraggio degli Studi a distanza. In tali casi spetta al titolare del trattamento, in base al principio di responsabilizzazione, individuare misure tecniche e organizzative idonee ad assicurare adeguata tutela ai diritti e alle libertà degli interessati e in particolare che il paziente sia stato preventivamente informato, la sua identità verificata, e il consenso (in caso di arruolamento da remoto) sia stato acquisito nei modi e nelle forme richieste.

In particolare, negli studi come quelli in esame è importante che i titolari definiscano correttamente i ruoli di protezione dei dati personali di tutti soggetti a vario titolo coinvolti nella ricerca, in particolare nella fase di raccolta e conservazione dei dati, avendo cura soprattutto di verificare la sussistenza di idonee condizioni di liceità per eventuali trasferimenti di dati verso paesi terzi e di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà fondamentali degli interessati (artt. 24, 27, 28, 32e 45 e ss. del Regolamento).

Rileva, poi, il principio di limitazione della conservazione dei dati che impone che essi siano “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato” (art. 5, par. 1 lett. e) del Regolamento).

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato, inoltre, nel rispetto del Codice, delle Prescrizioni relative al trattamento dei dati genetici e dei dati personali effettuato per scopi di ricerca scientifica, allegato 4 e 5 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati (doc. web n. 9124510) e delle Regole deontologiche (doc. web n. 9069637) che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento alle richiamate Prescrizioni, si evidenzia che esse si collocano nell’ambito dello spazio di normazione deferito agli Stati membri in forza dell’art. 9, par. 4 del Regolamento secondo cui “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”. Più nello specifico nel solco dell’articolo in esame si colloca l’art. 2-septies del Codice secondo cui i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in conformità alle misure di garanzia disposte dal Garante, fermi restando i presupposti giuridici previsti dal Regolamento. Tale articolo è destinato a trovare attuazione in maniera graduale. Il Garante, infatti, in prima istanza è stato chiamato a individuare le prescrizioni contenute nelle previgenti autorizzazioni generali, compatibili con le disposizioni del Regolamento (art. 21, d.lgs. 101 del 2018). Su tale base, il Garante ha adottato il Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati del 5 giugno 2019 (cit.) di cui, per quel che qui rileva, si segnalano i sopra richiamati allegati 4 e 5. A norma dell’art. 21, comma 2 del d.lgs. 1010 del 2018 le richiamate autorizzazioni hanno quindi cessato di produrre i loro effetti, rimanendo vigenti solo le disposizioni di natura prescrittiva confluite nel richiamato provvedimento del 5 giugno 2019.

Nell’ambito delle disposizioni del Codice, per quel che qui rileva merita di essere evidenziato in particolare l’art. 110 del Codice che riguarda la ricerca medica, biomedica ed epidemiologica che dispone che “Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando […]a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”.

A tale riguardo, “quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca” (cfr. punto 5.3 delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica).

I dati personali, inoltre, devono essere trattati nel rispetto del principio di trasparenza (art. 5, par. 1 lett. a) del Regolamento), fornendo preventivamente agli interessati le informazioni di cui all’art. 13 del Regolamento, in caso di dati raccolti direttamente presso di essi, ovvero ai sensi dell’art. 14, in caso di dati raccolti presso soggetti terzi.

Qualora i dati siano ottenuti presso terzi, come nel caso in esame, il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui comunicare tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento).

Sul punto, le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, prevedono che, qualora il titolare raccolga i dati personali presso terzi e fornire l’informativa all’interessato comporti uno sforzo sproporzionato rispetto al diritto tutelato, esso debba adottare idonee forme di pubblicità, indicando a titolo esemplificativo talune specifiche modalità (art. 6, comma 3).

Tali informative devono inoltre essere rese nel rispetto delle modalità di cui all’art. 12 del Regolamento, ossia in una forma concisa, trasparente intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro per gli interessati e le stesse devono recare tutti i contenuti di cui ai citati artt. 13 e 14 del Regolamento

In base al principio di responsabilizzazione, il titolare del trattamento deve conformarsi ed essere in grado di comprovare il rispetto dei principi e degli adempienti previsti dal Regolamento (artt. 5, par. 2 e 24). Questi è dunque chiamato a effettuare una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato. Ciò con particolare riferimento alla prevista modalità di svolgimento da remoto dell’attività di monitoraggio. Al riguardo, si sottolinea l’importanza che i titolari, anche all’esito di una specifica valutazione di impatto svolta ai sensi dell’art. 35 del Regolamento, definiscano correttamente i ruoli di protezione dei dati personali di tutti soggetti a vario titolo coinvolti nella fase di monitoraggio da remoto dello Studio e implementino misure adeguate ad assicurare effettiva applicazione del principio di esattezza e di integrità e riservatezza dei dati (artt. 5, par. 1 lett. e), f) e 24, 27, 28, 32. del Regolamento) (sul punto cfr. Comunicato stampa di AIFA del 4 aprile 2020, sulla gestione delle sperimentazioni cliniche durante l’emergenza da Covid-19, e le Guidance on the management of CT during the Covid-19 Pandemic, 7 April 2021).

Il Regolamento individua infine nel Capo V le condizioni giuridiche per i trasferimenti di dati personali verso paesi terzi affinché sia assicurato un livello di protezione adeguato dei dati oggetto di trasferimento (artt. 44 e ss; cfr. anche par. 3, Guidelines 05/2021 cit., Decisione di Esecuzione della Commissione (UE) 2021/914) e con le raccomandazioni del Comitato Europeo sulla protezione dei dati in merito alle misure supplementari, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data). In particolare, è previsto che, in assenza di una decisione di adeguatezza ai sensi dell’art. 45 del Regolamento, i trasferimenti di dati personali verso Paesi terzi siano consentiti ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (artt. 46 e 47 del Regolamento).

La disciplina in materia di protezione dei dati personali non trova invece applicazione in relazione ai dati anonimi. A tale riguardo, giova inoltre precisare che si considerano anonime le “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato”, ciò anche per i trattamenti svolti per finalità statistiche o di ricerca (cfr. considerando n. 26 del Regolamento). Il rischio di reidentificazione dell’interessato va, tuttavia, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014). Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

3. Le valutazioni dell’Autorità

3.1. Le basi giuridiche del trattamento dei dati

Il Garante ritiene che la Società abbia correttamente individuato le basi giuridiche dei trattamenti dei dati personali necessari per la realizzazione dello Studio fondandoli, per le pazienti non contattabili, sulla specifica e residuale procedura di cui all’art. 110 del Codice, avendo preventivamente comprovato di voler tentare di contattare ciascuna di esse (3 contatti telefonici documentati nell’arco di 8 settimane) e, solo in caso di esito negativo, considerare la paziente persa al follow up o deceduta (quando del decesso non vi sia certezza).

Al riguardo, tuttavia, si ritiene necessario che venga espunto dalla valutazione d’impatto il riferimento alla condizione di liceità del legittimo interesse del titolare del trattamento, di cui all’art. 6, par. 1, lett. f) del Regolamento, atteso che essa non compare altresì nel novero delle esenzioni per il trattamento delle particolari categorie di dati (tra cui quelli relativi alla salute oggetto di trattamento nel caso in esame), di cui al paragrafo 2 dell’art. 9 del Regolamento e risulta quindi inapplicabile nel caso in esame.

Con riferimento alle dichiarazioni sostitutive di consenso informato per studi osservazionali retrospettivi, il Garante intende, in primo luogo, rimarcare come tali documenti possano costituire validi strumenti di “accountability” attraverso i quali ciascun centro partecipante possa comprovare, sotto la propria responsabilità, lo sforzo profuso per contattare ciascuna delle pazienti che devono essere arruolate. D’altro canto, si intende evidenziare come il riferimento all’Autorizzazione del Garante, presente nella maggior parte di tali documenti, possa risultare fuorviante giacché, come riportato al par. 2 del presente provvedimento, vigono attualmente solo le disposizioni prescrittive che erano già contenute nelle richiamate autorizzazioni e che sono risultate compatibili con il rinnovato quadro normativo in materia di protezione dei dati personali. Si suggerisce pertanto di fare riferimento, nei richiamati documenti, al citato provvedimento recante le Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 del 5 giugno 2019.

Sotto altro profilo, si prende atto che lo Studio ha ottenuto il parere favorevole di alcuni competenti comitati etici a livello territoriale che costituiscono, laddove non sia possibile acquisire il consenso degli interessati, un ulteriore elemento di liceità del trattamento, ai sensi dell’art. 110, comma 1, secondo periodo del Codice e si rimarca che resta fermo che i centri partecipanti coinvolti nello Studio potranno dare inizio ai trattamenti solo dopo l’ottenimento dei pareri favorevoli dei rispettivi comitati etici territorialmente competenti, (ex multis, provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

Si prende, infine, atto della dichiarazione fornita dal titolare, ai sensi dell’art. 168 del Codice, secondo cui i trasferimenti dei dati dei pazienti arruolati in forma pseudonimizzate al titolare stabilito negli Stati Uniti d’America trovano il loro presupposto di liceità in specifiche Standard Contractual Clauses di cui all’art. 46 del Regolamento, l’efficacia e correttezza delle quali devono essere oggetto di verifica da parte del titolare del trattamento, in omaggio al principio di accountability e con particolare riferimento alla loro integrazione alla luce delle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” (art. 5, par. 2 del Regolamento).

3.2. Le informazioni agli interessati

La circostanza che un titolare del trattamento non sia nelle condizioni di informare direttamente gli interessati e quindi di acquisirne il consenso, non costituisce, in termini generali, una condizione esimente dall’obbligo di fornire comunque l’informativa sul trattamento di dati personali e dare applicazione al principio di trasparenza, seppur con modalità alternative.

Come già riportato al precedente paragrafo n. 2, qualora i dati non siano raccolti direttamente presso l’interessato, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento e art. 6, comma 3 delle Regole deontologiche).

La Società in un primo momento ha proposto rendere le informazioni sullo Studio attraverso il sito clinicaltrials.gov , all’indirizzo https://clinicaltrials.gov/ct2/show/NCT05458401?term=Europa&cond=breast+cancer&cntry=IT&draw=2&rank=2.

In sede istruttoria il richiamato sito internet è apparso tuttavia maggiormente dedicato agli operatori di settore, poco intellegibile e poco noto a comuni pazienti, soprattutto se localizzati sul territorio italiano, pertanto inidoneo come strumento per veicolare in modo efficace le informazioni sul trattamento dei dati personali. Il ClinicalTrials.gov è infatti “un database di studi clinici finanziati privatamente e pubblicamente condotti in tutto il mondo” ed è “una risorsa fornita dalla National Library of Medicine degli Stati Uniti” ..

A tale riguardo, si prende quindi favorevolmente atto della dichiarazione da ultimo resa dalla Società, ai sensi dell’art. 168 del Codice, secondo la quale le informative ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, par. 3 delle Regole deontologiche verranno pubblicate sui siti internet dello sponsor e dei centri partecipanti.

Ciò, fermo restando che spetta al titolare del trattamento, in conformità al principio di responsabilizzazione, assicurare che le informative siano rese nel rispetto delle modalità di cui all’art. 12 del Regolamento, ossia in una forma concisa, trasparente intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro per gli interessati e che le stesse rechino tutti i contenuti di cui agli artt. 13 e 14 del Regolamento, anche in relazione ai diritti degli interessati.

3.3. Tempi di conservazione

In ordine ai tempi di conservazione, è stato indicato che questi corrisponderanno ad almeno 10 anni, precisando al riguardo che tale periodo rappresenti un punto in comune tra le normative specifiche dei singoli Paesi in materia di sperimentazione clinica per gli studi osservazionali/RWDC in Europa e che è stata considerata la possibilità che questi dati vengano controllati dalle autorità regolatorie del Paese o dall'EMA.

Al riguardo, si comprende l’esigenza di individuare una mediazione “tra le normative specifiche dei singoli Paesi in materia di sperimentazione clinica per gli studi osservazionali/RWDC in Europa” nonché della “possibilità che questi dati vengano controllati dalle autorità regolatorie del Paese o dall'EMA”, e si ritiene che il titolare abbia motivato la proporzionalità in ordine al periodo di conservazione dei dati necessario al perseguimento dello scopo della raccolta, ossia di disporre di dati (anche indirettamente) identificativi necessari per il raggiungimento degli obiettivi dello Studio (art. 5, par. 1 lett. e) del Regolamento).

3.4. Anonimizzazione dei dati

Come evidenziato in sede istruttoria l’Ufficio del Garante ha più volte richiesto al titolare di indicare le misure che verranno adottate al termine del trattamento per anonimizzare i dati raccolti e elaborati per lo svolgimento dello Studio.

Dall’ultimo riscontro fornito è emerso che la Società intende a tal fine aggregare i dati raccolti ovvero “convertirli in statistiche in modo che le persone non possano più essere identificate”.

Alla luce delle considerazioni richiamate al precedente punto 2 e dei numerosi precedenti pronunciamenti del Garante al riguardo, è necessario sottolineare come la disponibilità di un numero elevato di statistiche aggregate aumenta il potere identificativo di ciascuna di esse, fino alla possibile completa ricostruzione di un dataset (cd “reconstruction attack”) (ex multis provv. 30 giugno 2022, doc. web 9791886 e del 2 marzo 2023, doc. web 9875254). Pertanto, al fine di evitare tale rischio, è necessario che il numero delle statistiche oggetto di diffusione sia significativamente inferiore rispetto al numero delle variabili che si intendono divulgare. In altri termini, assicurando la diffusione di un numero contenuto di statistiche, si evita che attraverso calcoli matematici, si possa pervenire all’identificazione dei singoli soggetti facenti parte del campione.

Tutto ciò premesso, anche in omaggio al principio di accountability si ritiene necessario che la Società, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, e comunque in ipotesi di condivisione dei dati con soggetti terzi, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate; ciò, al fine di scongiurare il rischio di ricostruzione di dati riferibili a singoli individui.

Inoltre, nell’ambito delle verifiche periodiche che il titolare del trattamento è comunque tenuto a svolgere anche in riferimento alla persistenza dell’efficacia delle misure di anonimizzazione dei dati e all’evoluzione tecnologica, si ritiene necessario che la Società si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nel dataset (cfr. sul punto, il Parere del 30 giugno 2022, doc. web 9791886 e del 2 marzo 2023, doc. web n. 9875254).

3.5. Le misure di sicurezza implementate

La Società, quale titolare del trattamento, come sopra richiamato e come richiesto dalla procedura ex artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello Studio, nella quale sono individuate in particolare le misure tecniche e organizzative sinteticamente descritte nel paragrafo 1, previste per la sicurezza dei dati trattati.

Deve notarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Da tale documento, oltre a quanto evidenziato nel precedente paragrafo 1, emerge che la Società, al fine di garantire il rispetto del principio di integrità e riservatezza, ha predisposto misure per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio che si considerano adeguate.
È stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli (artt. 5, par. 2, lett. f) e 32 del Regolamento).

Con riferimento, infine, alla prospettata eventualità che l’attività di monitoraggio dello Sponsor venga svolta da remoto, si ribadisce che in tali casi è importante che il titolare definisca correttamente, nell’ambito della valutazione d’impatto che dovrà essere al riguardo opportunamente integrata, i ruoli di protezione dei dati personali di tutti i soggetti a vario titolo coinvolti in tale attività, avendo cura di individuare  adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà fondamentali degli interessati (artt. 32 e 35 del Regolamento).

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla Società Daiichi Sankyo con sede legale 211 Mt. Airy Road, Basking Ridge, New Jersey, 07920 USA, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti non contattabili arruolati nello studio “European Real-world experience of previously treated advanced/metastatic HER2-positive breast cancer patients Accessing trastuzumab deruxtecan through a named patient program” titled” EUROPA T-DXd” a condizione che:

a) venga espunto dalla valutazione d’impatto il riferimento alla condizione di liceità del legittimo interesse del titolare del trattamento, di cui all’art. 6, par. 1, lett. f) del Regolamento (cfr. punto 3.1);

b) al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, e comunque in ipotesi di condivisione dei dati con soggetti terzi, assicuri che il numero di statistiche aggregate da rendere conoscibile sia significativamente inferiore rispetto al numero delle variabili considerate (punto 3.4);

c) rimuova ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nel dataset (punto 3.4);

d) in caso di monitoraggio da remoto dello Studio, integri la valutazione d’impatto definendo correttamente i ruoli di protezione dei dati personali di tutti i soggetti a vario titolo coinvolti in tale attività, avendo cura di individuare adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà fondamentali degli interessati (punto 3.5).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 31 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei