g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Provvedimenti ex art. 110 del Codice
  4. Provvedimento del 21 dicembre 2023 [9979453]

Provvedimento del 21 dicembre 2023 [9979453]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9979453]

Provvedimento del 21 dicembre 2023

Registro dei provvedimenti
n. 607 del 21 dicembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice relativo al trattamento di dati personali per ricerca medica, biomedica e epidemiologica;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web n. 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliero-Universitaria Careggi (di seguito Azienda), per la realizzazione di uno studio clinico monocentrico, retrospettivo e osservazionale su pazienti cirrotici ricoverati per detossicazione da alcool (Prot. TOX GHB 2022-1 OSS 21680) (nota del 24 maggio 2023);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla medesima Azienda, per la realizzazione dello studio retrospettivo, osservazionale, monocentrico e no profit “Heparin induced thrombocytopenia after cardiac surgery. CE230392” (nota dell’8 giugno 2023);

RILEVATO che l’Azienda Ospedaliero Universitaria Careggi riveste in entrambi gli Studi monocentrici il ruolo di promotore e di titolare del trattamento ai sensi dell’art. 24 del Regolamento e che, le principali operazioni di trattamento svolte per la realizzazione degli stessi sono effettuate in un contesto del tutto analogo, attraverso medesimi sistemi informativi o comunque similari, applicando medesime misure tecniche e organizzative e analoghe tecniche di pseudonimizzazione e anonimizzazione dei dati;

RILEVATO che l’Ufficio del Garante ha disposto la riunione dei procedimenti relativi alle richiamate istanze (nota del 8 settembre 2023, prot. n. 125596), prevedendo di conseguenza l’adozione del presente unico parere (art. 10, comma 4 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, del 4 aprile 2019, doc. web n. 9107633);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva per la realizzazione dello Studio clinico monocentrico, retrospettivo e osservazionale su pazienti cirrotici ricoverati per detossicazione da alcool “(Prot. TOX GHB 2022-1 OSS 21680)”

L’Azienda Ospedaliero Universitaria Careggi (di seguito Azienda) ha presentato un’istanza di consultazione preventiva, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione, in qualità di promotore e titolare del trattamento, ai sensi dell’art. 24 del Regolamento, dello studio retrospettivo osservazionale, monocentrico e no profit su pazienti cirrotici ricoverati per detossicazione da alcool, (Prot. TOX GHB 2022-1 OSS 21680) (di seguito lo “Studio”), atteso che esso comprende anche dati riferiti a soggetti deceduti o non contattabili.

L’Azienda ha trasmesso in atti il protocollo dello Studio, il parere del Comitato etico Regionale per la Sperimentazione Clinica della Regione Toscana, Sezione, Area Vasta Centro, territorialmente competente e la valutazione di impatto (di seguito anche “Vip”), svolta ai sensi dell’art. 35 del Regolamento (nota del 24 maggio 2023).

L’Ufficio del Garante ha avviato un approfondimento istruttorio in relazione all’istanza pervenuta con nota del 26 giugno 2023 (prot. n. 98982).
Dalla documentazione in atti, così come acquisita e modificata in sede istruttoria anche alla luce dei rilievi formulati dall’Ufficio (note del 13 luglio 2023, prot. n. 16440 e del 16 ottobre 2023, prot. n. 23722), emerge che:

- lo Studio si pone l’obiettivo primario di “analizzare l’incidenza degli effetti collaterali della terapia con GHB in una coorte di pazienti cirrotici” e quello secondario di “analizzare il pattern di utilizzo del GHB, identificando i fattori che hanno portato i medici a selezionare i soggetti a cui somministrarlo ed a decidere la dose giornaliera”;

- verranno arruolati nello Studio “tutti i pazienti” “maggiorenni di qualsiasi gruppo etnico” [...] “con […] diagnosi di dimissione: “Detossicazione da alcool in paziente affetto da cirrosi epatica” e “i dati rilevanti per il perseguimento degli obiettivi dello Studio” - dettagliatamente indicati nella documentazione acquisita agli atti del procedimento- “verranno estrapolati dalle cartelle cliniche dei pazienti gestite e archiviate attraverso l’applicativo aziendale “Archimed” [...]”;

- per confermare la diagnosi di cirrosi epatica e valutarne la gravità, le cartelle cliniche, “saranno studiate da un unico specialista gastroenterologo in modo da ridurre al minimo il bias interpretativo”;

- gli “Interessati al trattamento sono circa 500 pazienti cirrotici ricoverati presso la SOD di Tossicologia Medica per detossicazione da alcool dal 01/01/2005 al 31/12/2015”;

- “Per gli interessati che non sarà possibile informare e per i quali non sarà possibile ottenere il consenso si procederà secondo le modalità di cui all’art. 110 comma 1 secondo periodo del […] Codice in materia di protezione dei dati personali, ovvero mediante sottoposizione del protocollo di studio a consultazione preventiva dell’Autorità Garante per la protezione dei dati personali”;

- “Dopo il completamento dello studio, il promotore preparerà una bozza del manoscritto contenente i risultati finali dello studio sulla base dell'analisi statistica. Il manoscritto sarà trasmesso agli sperimentatori per i commenti e dopo la revisione sarà inviato ad una rivista scientifica”;

- “[…] La frase secondo la quale vengono arruolati pazienti “Maschio o femmina maggiorenni di qualsiasi gruppo etnico” vuole semplicemente precisare che si è deciso di arruolare tutti i pazienti indipendentemente dall’etnia”;

Con particolare, riferimento alle modalità di raccolta e trattamento dei dati, l’Azienda ha precisato che:

- “Per quanto riguarda le modalità con cui i dati di studio vengono trasferiti (e poi archiviati e conservati) nel data base denominato «Redcap» (il sistema informatico di raccolta dati utilizzato nell’ambito dello studio in oggetto e degli studi osservazionali aziendali in genere) a partire dalla cartella clinica elettronica aziendale «Archimed», […] non sono previste fasi di inserimento manuale dei dati su «Redcap». L’estrazione dei dati da «Archimed» [il sistema di gestione delle cartelle cliniche] viene effettuata, sulla base di una serie di item predefiniti, producendo un foglio excel: in esso, per questo studio, sono inserite da un componente del gruppo di studio anche alcune informazioni desunte dalla anamnesi e viene svolto un controllo sulla cartella clinica originale per verificare l’esattezza complessiva dei dati. Dal foglio excel sono quindi eliminati i riferimenti anagrafici e il numero di cartella clinica (numero nosologico) e i dati sono pseudonimizzati associando a ogni paziente un codice alfanumerico, e registrando in un documento a parte, in esclusivo possesso del PI, l’associazione tra codice e anagrafica. Il foglio excel è a questo punto importato su una Case Report Form (CRF) adeguatamente strutturata su «Redcap», e subito dopo viene cancellato; questi sono i dati soggetti a conservazione per il termine stabilito nel Protocollo di studio. Per lo studio (osservazionale retrospettivo monocentrico) in oggetto, si è concordato con il PI di ridurre il tempo di conservazione dei dati a 3 anni (cfr. punto 8) [rispetto al periodo originariamente individuato di 7 anni];

- “Per consentire l’elaborazione statistica dei dati, da «Redcap» è nuovamente estratto un foglio excel che viene trasferito sul sistema di statistica prescelto (il foglio excel, una volta ciò fatto, è cancellato): si tratta ordinariamente di un software free installato su server aziendale, per questo specifico studio il software è STATA - Statistical software for data science. […]”;

- con specifico riferimento alle basi giuridiche del trattamento, “La finalità generale del trattamento è la ricerca in ambito scientifico di cui all’art. 9 per. 2 lettera J) del Regolamento Generale, nonché, più in particolare, la ricerca in ambito medico, biomedico ed epidemiologico di cui all’art. 110 del Codice. Considerato che l’art. 110 del Codice prevede, tranne eccezioni, quale base giuridica ordinaria l’acquisizione del consenso dell’interessato, e che per questo studio non si ritiene possibile raccoglierlo (si tratta di pazienti ricoverati in fase acuta sino al 2015, poi passati ai servizi territoriali e non più in contatto con la struttura), si è proceduto secondo le modalità di cui all’art. 110 comma 1 secondo periodo del Codice, ovvero mediante sottoposizione del protocollo di studio a consultazione preventiva dell’Autorità Garante per la protezione dei dati personali. Per quanto riguarda gli obblighi di documentazione del percorso di ricerca, nonché le prerogative degli enti di controllo, questi sono previsti da specifiche normative: la relativa base giuridica deve dunque individuarsi nell’art. 9 par. 2 lettera g) del Regolamento Generale (“il trattamento è necessario per motivi di interesse pubblico rilevante”)”;

- in relazione all’impossibilità di contattare i pazienti potenzialmente arruolabili, è stato rappresentato che “[…], n. 35 sono deceduti e n. 120 risultano residenti fuori l’area vasta di Firenze, Prato, Empoli, Pistoia per cui sarebbe, in ogni caso, difficile raccogliere un consenso informato e sottoscritto, fatta eccezione per l’ipotesi in cui continuino a frequentare la struttura ospedaliera. Circa quest’ultima possibilità si rappresenta che, mentre nel periodo di studio la SOD (Struttura Organizzativa Dipartimentale) Tossicologia medica (oggi SOD Tossicologia medica e Centro antiveleni) effettuava attività di ricovero (gli interessati sono, infatti, pazienti allora ricoverati presso di essa), attualmente svolge soltanto attività ambulatoriale; ne segue che pazienti non residenti nell’area fiorentina, o per i quali l’Azienda Careggi non è comunque struttura sanitaria di prossimità, raramente continuano a rivolgersi ad essa (e nessuno, comunque, dei pazienti arruolabili);

- “Il PI ha tentato di contattare n. 8 pazienti tra quelli a suo tempo residenti a Firenze, dei quali n. 3 pazienti non hanno risposto al telefono e n. 5 pazienti hanno il numero telefonico di contatto disattivato. Si evidenzia come tali esiti siano ad ogni modo del tutto prevedibili in riferimento a questa tipologia di pazienti: si tratta non solo di pazienti cirrotici, cioè effetti da una grave patologia (da cui il 10% circa dei pazienti deceduti sul campione considerato) ma di pazienti cirrotici in detossicazione da alcool, pazienti cioè in dipendenza, caratterizzati da una scarsa compliance - tanto che per lo stesso trattamento clinico in fase non acuta è spesso necessario coinvolgere i familiari - e da abitudini di vita tipicamente poco stabili. In questo caso si potrebbe sostenere che l’impossibilità oggettiva di stabilire un contatto è determinata dalla particolare caratterizzazione soggettiva dei pazienti (questa considerazione vale per tutti i pazienti trattati dalla struttura, anche in riferimento ad altre dipendenze, da droghe o psicofarmaci)”;

- “[…]. Resta fermo che, qualora uno dei pazienti recuperasse il rapporto con il reparto, verrebbe adeguatamente informato sullo studio e ne sarebbe richiesto il consenso”;

- “I dati relativi ad ogni paziente saranno anonimizzati al momento della aggregazione dei dati”:
Circa il termine di conservazione dei dati, originariamente fissato in 7 anni in analogia con quanto previsto per gli studi interventistici dal d. lgs. n. 200 del 2007, l’Azienda ha da ultimo chiarito, con la citata nota del 16 ottobre 2023, che:

- “[…] Lo scopo della conservazione dei dati raccolti, per gli studi osservazionali, […] [è] quello di conservare una base dati per successive verifiche e analisi o richieste di precisazioni circa i risultati pubblicati. Pur se i ricercatori continuano ordinariamente a far riferimento a quello settennale, il termine adeguato dunque può variare in ordine alla tipologia di pubblicazione ed alla politica redazionale della rivista, al numero dei pazienti coinvolti nello studio, al fatto che sia monocentrico o policentrico e che si sia svolto o meno solo in ambito nazionale, in generale alla sua complessità e durata: per questo non si è ritenuto opportuno individuare un termine univoco a livello aziendale”;

- “Per lo studio (osservazionale retrospettivo monocentrico) in oggetto, si è concordato con il PI di ridurre il tempo di conservazione dei dati a 3 anni”, ritenendolo pertanto adeguato rispetto alla opportunità di conservare una base dati statistica per successive verifiche o richieste di precisazioni circa i risultati pubblicati.

Per quanto riguarda le considerazioni circa l’efficacia delle misure adottate per ridurre i rischi correlati al trattamento, l’Azienda ha specificato che:

“[…] Relativamente al rischio di accesso illegittimo ai dati, la probabilità si ritiene trascurabile in quanto i dati raccolti dalla cartella clinica aziendale sono conservati su Redcap, un gestionale che assicura misure adeguate. Tali misure garantiscono un livello di rischio contenuto anche rispetto al rischio di modifiche indesiderate dei dati, essendo ogni accesso ed attività tracciati, e di perdita di dati, essendo il database sottoposto a back up quotidianamente, con possibilità di rapido restore in caso si verifichi una modifica indesiderata. Tale valutazione si avvantaggia anche delle strutture hardware ridondate sulle quali si fonda il sistema, le procedure di backup sistematico e la resilienza intrinseca del data center che ospita l’applicativo. Le credenziali di gestione dell’applicativo sono personali e rilasciate ai soli dipendenti autorizzati, debitamente istruiti riguardo la loro corretta custodia ed utilizzo”.

L’Azienda poi, considerato che le modalità di trattamento nel corso dell’istruttoria hanno subito sostanziali modifiche, ha trasmesso le versioni aggiornate dell’informativa sul trattamento dei dati personali, dichiarando che essa verrà resa disponibile “mediante pubblicazione sul sito internet istituzionale del Centro di sperimentazione per durata dello studio medesimo” e della valutazione d’impatto, recante il parere positivo del responsabile della protezione dei dati.

2. L’istanza di consultazione preventiva per la realizzazione dello Studio retrospettivo osservazionale, monocentrico e no profit “Heparin induced thrombocytopenia after cardiac surgery. CE230392”

Con nota dell’8 giugno 2023, l’Azienda ha presentato un’altra istanza di consultazione preventiva, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione dello studio retrospettivo osservazionale, monocentrico e no profit “Heparin induced thrombocytopenia after cardiac surgery. CE230392” trasmettendo in atti il protocollo dello Studio e la valutazione di impatto, svolta ai sensi dell’art. 35 del Regolamento.

Dalla documentazione trasmessa unitamente all’istanza è emerso che:

- lo Studio è volto ad investigare “l’incidenza di piastrinopenia indotta da eparina in ambito perioperatorio cardiochirurgico, e successivamente le eventuali complicanze e la mortalità correlate. In aggiunta, lo studio si propone di analizzare i fattori di rischio per HIT in pazienti cardiochirurgici e l’efficacia delle varie strategie di trattamento di volta in volta usate” e prevede “l’analisi dei dati dei pazienti ricoverati tra il 01/02/2013 (attivazione della cartella clinica elettronica) e il 30/06/2022, per un totale di 9 anni e 5 mesi”. In particolare, la popolazione oggetto di analisi è quella sottoposta “nella tempistica definita (2013-2022) ad intervento cardiochirurgico maggiore [...] o di cardiologia interventistica valvolare, con successivo ricovero in Terapia Intensiva Cardiochirurgica o Subintensiva Cardiochirurgica-dipartimentale: verranno estratti ed analizzati nel dettaglio solo i dati dei pazienti per i quali è stato posto sospetto clinico di HIT e quindi richiesto il test di laboratorio alla chemiluminescenza (CLIA) nel lasso di tempo in studio. Il periodo di follow-up dei malati è di 30 giorni dall’intervento”;

- il protocollo indica nel dettaglio tutti i dati clinici e di laboratorio dei pazienti elegibili che verranno estratti dalle cartelle cliniche elettroniche in utilizzo presso l’Azienda. I dati raccolti sono quelli dal momento dell’ingresso in ospedale del paziente per l’intervento cardiochirurgico fino al momento della dimissione al domicilio o del decesso dello stesso. “L’estrazione dei dati dalla cartella elettronica avviene con la consueta modalità di accesso con password utente con le funzioni di statistica, ricerca paziente e ricerca avanzata, dopo applicazione degli opportuni filtri di ricerca. Saranno registrati nel foglio elettronico di raccolta dati, […], solo i dati relativi ai pazienti per i quali sono stati richiesti al laboratorio i dosaggi anticorpali”;

- “Per minimizzare il rischio di bias saranno arruolati tutti i pazienti consecutivi rientranti nei criteri di inclusione. Tutti i pazienti di questa coorte che sono stati sottoposti a ricerca di anticorpi antieparina/ PF4 saranno registrati”;

- “Considerata la natura osservazionale e retrospettiva dello studio, l’arco temporale a cui si riferiscono i dati di interesse, la mortalità della popolazione sottoposta ad intervento cardiochirurgico, nonché l’elevata mortalità dei pazienti affetti da HIT, sarà resa l’informativa quando ciò sia possibile e in particolare laddove questi si rivolgano al centro di cura, anche per visite di controllo, anche al fine di consentire loro di esercitare i loro diritti. Se i pazienti risulteranno essere deceduti o non contattabili al momento dell’arruolamento nello studio, all’esito di ogni favorevole sforzo compiuto per contattarli, non sarà acquisito il consenso per impossibilità organizzativa (ai sensi dell’art. 21, comma 1 del D.Lgs. 10 agosto 2018, n.101) e sarà dunque necessario procedere a consultazione preventiva presso l’autorità garante ai sensi dell’art. 110, secondo periodo, del D.Lgs. 196/2003”;

- con particolare, riferimento alle modalità di raccolta e trattamento dei dati, nella valutazione di impatto è ulteriormente precisato che i “dati verranno raccolti dalla cartella clinica elettronica e trasferiti su foglio di lavoro Excel. Non saranno memorizzate, oltre all’età ed al genere, altre informazioni potenzialmente identificative dalle quali si possa risalire in qualche modo ai pazienti (data di nascita, numero di telefono). I dati dei malati saranno pseudonimizzati. Nel foglio elettronico di raccolta dati, ogni riga numerata in modo sequenziale rappresenterà un paziente. Su ogni colonna saranno registrate le variabili sopra esposte, così che le generalità dei pazienti afferenti allo studio siano sostituite dall’assegnazione di un codice numerico sequenziale dal quale non sarà possibile in nessun modo risalire all’identità del malato se non attraverso una chiave di decodifica (associazione tra il codice univoco e le generalità del malato) conservata in un documento protetto da password custodito sotto la responsabilità dello sperimentatore principale”;

- “i dati saranno archiviati e conservati esclusivamente su supporto informatico. Il file Excel con i dati pseudonimizzati sarà conservato esclusivamente sul pc personale di lavoro dello sperimentatore principale, dove sarà protetto da password di accesso e sarà accessibile esclusivamente a lui. Il file sarà conservato fino al momento della pubblicazione dello studio. Non sarà utilizzato alcun supporto cartaceo. I dati non saranno trasferiti ad altri computer, o a server di dati. L’estrazione dei dati dalla cartella elettronica avviene previo accesso con password utente, con la consueta funzione di consultazione supportata dalla stessa cartella clinica elettronica, dopo applicazione degli opportuni filtri di ricerca. […] L’accesso ai dati, tramite password, avviene con apertura del file Excel da parte dello sperimentatore principale. I dati pseudonimizzati, potranno essere esportati in applicazione SPSS per l’analisi statistica”;

- La pseudonimizzazione dei dati “avviene già in fase di estrazione degli stessi […] dalla cartella clinica elettronica. Le generalità dei pazienti afferenti allo studio verranno omesse e sostituite dall’assegnazione di un codice numerico sequenziale dal quale non sarà possibile in nessun modo risalire all’identità del malato se non attraverso una chiave di decodifica (associazione tra il codice univoco e le generalità del malato) conservata in un ulteriore foglio elettronico protetto da password e custodito sotto la responsabilità dello sperimentatore principale”;

- nella Vip è inoltre riportato che “i dati trattati sono, sotto responsabilità del titolare dello studio, quelli strettamente indispensabili alla realizzazione dello studio ed al raggiungimento degli obbiettivi sopra esposti [...]”.

- in relazione al principio di limitazione della conservazione dei dati, l’Azienda ha dichiarato che ”i dati pseudonimizzati saranno conservati per un periodo non superiore a quello necessario per le finalità dello studio per i quali sono stati raccolti – stimabile in 7 (sette) anni dalla conclusione dello studio. […], ciò in analogia con il termine di conservazione dei dati previsto per gli Studi interventistici dal D. Lgs. n. 200 del 2007. E che “Qualsiasi dato personale sarà eliminato dopo la scadenza del periodo di conservazione applicabile”;

- per quanto riguarda il principio di “Integrità e riservatezza dei dati” nella Vip è chiarito che “L’accesso al PC sul quale è conservata la chiave di decodifica dei dati è protetto da password. Il foglio di lavoro su cui sono conservati i dati pseudonimizzati è crittografato e protetto da password. Il foglio di lavoro su cui è conservata la chiave di decodifica è crittografato e protetto da password. I due fogli sono conservati su PC differenti”;

- con riferimento alle politiche di pubblicazione dei risultati della ricerca, nel protocollo è stato evidenziato che “Una volta completata l’analisi dei dati, in accordo alle ICH-GCP, il responsabile dello Studio si impegna a produrre un report sullo studio, pubblicare tutti i dati raccolti come descritto nel protocollo e a garantire che i dati siano riportati responsabilmente e coerentemente. In particolare, la pubblicazione dei dati derivanti dal presente studio avverrà indipendentemente dai risultati ottenuti. I risultati saranno scritti sotto forma di articolo scientifico che verrà sottoposto per eventuale pubblicazione in riviste peer-reviewed specialistiche di settore. La trasmissione o diffusione dei dati, per il tramite di pubblicazioni scientifiche e/o di presentazione in congressi, convegni e seminari, avverrà esclusivamente a seguito di un’elaborazione meramente statistica degli stessi, e sempre e comunque in forma assolutamente anonima”;

- “I dati non sono [pertanto] anonimizzati in nessuna fase del trattamento, eccetto nella loro rappresentazione globale ed aggregata in grafici, tabelle, riportanti ad esempio le incidenze, i fattori di rischio, gli outcome e le tipologie di trattamento”;

- l’Azienda ha altresì chiarito che laddove non sarà possibile acquisire il consenso degli interessati, “l’informativa sarà resa disponibile sul sito istituzionale. Sarà resa invece l’informativa e richiesto il consenso agli interessati inclusi nella ricerca in tutti quei casi in cui ciò sia possibile”.

Anche in relazione a tale istanza l’Ufficio del Garante ha avviato un approfondimento istruttorio (nota del 26 giugno 2023, prot. n. 98994) a seguito del quale l’Azienda con note del 13 luglio 2023 (prot. n. 16440) e del 16 ottobre 2023 (cit.), ha chiarito che:

- le ragioni per le quali informare gli interessati potrebbe risultare impossibile, derivano dal fatto che “La trombocitopenia da eparina (HIT) è una complicanza della terapia eparinica. I pazienti che, nel periodo considerato, hanno effettuato in Azienda un intervento cardiochirurgico con conseguente somministrazione di eparina sono circa 14.000; tra questi, i pazienti con HIT accertata sono circa 60, ma il numero di quelli per i quali è stato ipotizzato un sospetto di HIT ed effettuato un controllo è circa 10 volte maggiore. L’età media dei pazienti con HIT accertata è oltre i 70 anni (essendo il periodo retrospettico considerato di circa 12 anni, la media dell’età attuale deve elevarsi di ulteriori 7-8 anni): sono dunque (tralasciando i deceduti) pazienti anziani, spesso provenienti, per la capacità attrattiva della cardiochirugia aziendale, da altre aree geografiche. Si tratta comunque di uno studio di incidenza, per il quale vengono acceduti e confrontati, con una diversa profondità e ampiezza, i dati di tutti i 14.000 pazienti di cui sopra; è ovvio che è impossibile, da un punto di vista organizzativo, pensare di poter contattare tutti questi pazienti (tranne quelli che eventualmente si rivolgono ancora alle strutture interessate dallo studio)”.

- circa il termine di conservazione dei dati fissato a 7 anni, rispetto alle caratteristiche dello Studio e alle analisi statistiche che si intendono effettuare esso è “ritenuto adeguato rispetto alla opportunità di conservare una base dati statistica per successive verifiche o richieste di precisazioni circa i risultati pubblicati”;

- “di aver modificato il flusso dati verso il sistema SPSS, per ovviare alla gestione e conservazione di dati su un foglio excel, inserendovi il software Redcap all’interno dei quali i dati saranno conservati”;

- “Per quanto riguarda le considerazioni circa l’efficacia delle misure adottate per ridurre i rischi correlati al trattamento […] [r]elativamente al rischio di accesso illegittimo ai dati, la probabilità si ritiene trascurabile in quanto i dati raccolti dalla cartella clinica aziendale sono conservati su Redcap, un gestionale che assicura misure adeguate. Tali misure garantiscono un livello di rischio contenuto anche rispetto al rischio di modifiche indesiderate dei dati, essendo ogni accesso ed attività tracciati, e di perdita di dati, essendo il database sottoposto a back up quotidianamente, con possibilità di rapido restore in caso si verifichi una modifica indesiderata. Tale valutazione si avvantaggia anche delle strutture hardware ridondate sulle quali si fonda il sistema, le procedure di backup sistematico e la resilienza intrinseca del data center che ospita l’applicativo. Le credenziali di gestione dell’applicativo sono personali e rilasciate ai soli dipendenti autorizzati, debitamente istruiti riguardo la loro corretta custodia ed utilizzo”;

- con specifico riferimento all’Informativa “si procederà a rendere[la] disponibile mediante pubblicazione sul sito istituzionale del Centro di sperimentazione per la durata dello studio stesso”.

L’Azienda ha inoltre trasmesso una nuova versione dell’informativa sul trattamento dei dati personali e della Vip, recante altresì il parere positivo del responsabile della protezione dei dati “Considerato che le modalità del trattamento, rispetto alla prima versione della DPIA, hanno subito sostanziali modifiche (il flusso dati prevede adesso la loro archiviazione e conservazione sul database “Redcap”)”. Tali modalità di trattamento sono del tutto analoghe a quelle previste per lo Studio su pazienti cirrotici ricoverati per detossicazione da alcool, descritto al precedente paragrafo 1. Infatti il processo così come delineato “è estensibile a tutti gli studi osservazionali che utilizzano applicativi di statistica. Considerato che l’Azienda tratta i dati clinici su sistemi elettronici da almeno venti anni, sono dunque rari gli studi in cui i dati debbano essere acquisiti da supporti cartacei, con una fase manuale di raccolta e trascrizione nella CRF. I dati vengono estratti da un applicativo aziendale (per l’attività di ricovero come per quella ambulatoriale, di Pronto Soccorso ecc.) che solitamente, sulla base delle informazioni di interesse predefinite dal ricercatore, estrae i dati mettendoli a disposizione su un foglio excel; sul foglio excel sono talvolta inserite integrazioni (circa informazioni non standardizzate, come quelle delle parti a testo libero della documentazione) e viene poi svolta una verifica di esattezza rispetto ai dati originari. I dati, attraverso il foglio excel, vengono quindi trasferiti sul database aziendale per gli studi osservazionali “Redcap”, che consente di strutturare una CRF specifica per ogni studio. La CRF è acceduta telematicamente, e può esserlo, da parte di soggetti autorizzati e profilati, anche dall’esterno dell’Azienda. I dati vengono solitamente pseudonimizzati prima dell’inserimento in “Redcap”, direttamente sul foglio excel, ma è in teoria possibile farlo anche successivamente al trasferimento in “Redcap”: la prima modalità è quella indicata dall’Azienda in ordine al minor rischio connesso al trasferimento di dati non immediatamente identificativi. I dati vengono poi duplicati, ancora attraverso un foglio excel prodotto da Redcap, sull’applicativo statistico, ove vengono categorizzati e tradotti in valori numerici a seconda di parametri impostati sul sistema dal ricercatore. Si ritiene che il momentaneo utilizzo del foglio excel come strumento per il trasferimento dei dati tra gli applicativi non rappresenti una criticità dal punto di vista della sicurezza, trattandosi di operazione più o meno immediata e sotto il controllo di un solo soggetto, solitamente il PI.

Da ultimo, con nota del 14 dicembre 2023, l’Azienda ha altresì trasmesso il parere favorevole del competente comitato etico sullo Studio.L’Azienda, infine, in relazione ad entrambe gli Studi, ha da ultimo chiarito con nota del 30 ottobre 2023, prot. n. 24974 che: “il trasferimento dei dati dalla cartella clinica elettronica aziendale Archimed al database Redcap, utilizzato per l’archiviazione e la conservazione dei dati degli studi osservazionali, avviene in linea generale come segue: - creazione della struttura della CRF nel database Redcap; - estrazione da Archimed di un foglio excel recante le tipologie di dati selezionati, coerenti con la struttura della CRF; - pseudonimizzazione dei dati; importazione in Redcap, tramite una funzione dedicata presente sul sistema, di tale foglio excel, popolando il database con i dati di studio; - cancellazione del file excel, il quale ha avuto unicamente funzione di mezzo di trasferimento dei dati”.

3. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni, nonché delle Regole deontologiche che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto non è necessario “[...] quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento);

L’art. 89, par. 1 del Regolamento dispone, in particolare, che “Il trattamento a fini [...] di ricerca scientifica è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo [...]”.

I dati personali devo essere trattati nel rispetto dei principi applicabili al trattamento stabiliti all’art. 5 del Regolamento, tra i quali merita in questa sede evidenziarsi quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento). Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In base al Regolamento “quando un tipo di trattamento prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” [...]  “Il titolare, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati, a norma dell'articolo 35 del Regolamento, indichi che il trattamento presenta un rischio elevato in assenza di misure adottate dal titolare per attenuare il rischio”. La consultazione preventiva del Garante è comunque necessaria se prevista da una specifica base normativa (artt. 35 e 36 del Regolamento e Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248rev.01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017).

La Vip deve contenere, oltre ad una descrizione sistematica dei trattamenti e delle finalità del trattamento, una valutazione dei rischi per i diritti e le libertà degli interessati e delle misure conseguentemente previste per affrontare tali rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per assicurare la protezione dei dati personali e dimostrare la conformità al Regolamento (Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679, cit.).

Le misure individuate dal titolare devono essere volte all’effettiva applicazione dei principi di protezione dei dati personali, ponendo i titolari del trattamento nella condizione di comprovare l’idoneità delle stesse, tenuto anche conto degli specifici rischi connessi, nel caso specifico, al trattamento dei dati (cfr. anche linee guida per la protezione della vita privata dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) adottati nel 1980).

In base al rinnovato quadro normativo in materia di protezione dei dati personali, sulla base del richiamato principio di responsabilizzazione e dell’obbligo di protezione dei dati sin dalla progettazione, si richiede al titolare una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

La valutazione di impatto costituisce la sede principale nell’ambito della quale svolgere tali valutazioni e rappresentare le misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo. Tali misure devono essere periodicamente verificate e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati (provv. del 30 giugno 2020, doc. web n. 9357972 e del 30 luglio 2022 doc. web n. 9808839).

I dati devono essere trattati anche nel rispetto di principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento). In relazione ai correlati obblighi informativi, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai paragrafi da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità (…)”, indicando delle specifiche modalità a titolo esemplificativo.

Va osservato poi il principio di limitazione della conservazione in base al quale i dati devono essere conservati solo per il tempo necessario al perseguimento degli scopi della raccolta o in base a specifici obblighi normativi (art. 5, par. 1 lett. b) e e) del Regolamento).

La disciplina in materia di protezione dei dati personali non riguarda dati anonimizzati, intendendosi per tali solo quelli che non consentono in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

Si evidenzia infine che in relazione al trattamento dei dati per scopi di ricerca in campo medico, biomedico e epidemiologico, il Garante ha adottato in particolare i seguenti pareri del 20 giugno 2019, doc. web 9123447; 29 ottobre 2020, n. 202, doc. web 9517401; 10 dicembre 2020 doc. web 9520597; 17 settembre 2020, doc. web 9479364; del 17 settembre 2020, doc. web 9479382; 29 ottobre 2020, n. 202, doc. web 9517401; 10 dicembre 2020, doc. web 9520597; 17 settembre 2020, doc. web 9479364; 17 settembre 2020, doc. web 9479382; 1° novembre 2021, doc. web 9731827; del 30 giugno 2022, doc. web 9791886; 24 novembre 2022 doc. web. 9842737; 2 marzo 2023, doc. web 9875254; 22 giugno 2023, doc. web 9919244; 6 luglio 2023, doc. web 9919999; 18 luglio 2023, doc. web 9920977; 31 agosto 2023, 28 settembre 2023 e 12 ottobre 2023 in corso di pubblicazione.

4. Le valutazioni dell’Autorità

4.1. Valutazioni in ordine al trattamento di dati personali necessari per la realizzazione studio clinico monocentrico, retrospettivo e osservazionale su pazienti cirrotici ricoverati per detossicazione da alcool, “(Prot. TOX GHB 2022-1 OSS 21680)”

Il Garante ritiene che l’Azienda in qualità di promotore dello Studio e di titolare del trattamento abbia correttamente individuato le basi giuridiche del trattamento, specificando adeguatamente, nel corso dell’istruttoria svolta, i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso, secondo quanto previsto dal punto 5.3 delle Prescrizioni. Tale circostanza, nel caso in esame, risulta in particolare correlata al numero di pazienti da arruolare, circa 300, all’età dei pazienti al momento del ricovero, all’incidenza di mortalità dei pazienti che si intendono arruolare, al lungo tempo ormai trascorso dal ricovero e alla circostanza che molti di essi sono persi al follow up, ciò tenuto anche conto che la struttura ospedaliera presso la quale erano stati ricoverati svolge attualmente solo attività ambulatoriale (sono infatti oggetto di osservazione tutti i pazienti ricoverati nel periodo dal 2005 al 2015) e che l’esclusione di questi pazienti dallo Studio produrrebbe conseguenze significative in termini di alterazione dei relativi risultati in conformità con quanto previsto dal punto 5.3 delle Prescrizioni.
Lo Studio ha inoltre ottenuto il parere favorevole del competente comitato etico a livello territoriale, elemento che si configura quale condizione di liceità e correttezza del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr. provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

L’Azienda ha poi chiarito che nello Studio sono arruolati tutti i pazienti indipendentemente dall’etnia e che dunque non viene effettuato un trattamento dei dati su tale caratterizzazione degli interessati.

Si ritiene, inoltre, che l’Azienda abbia individuato misure efficaci per un corretto adempimento degli obblighi di trasparenza correlati ai trattamenti in esame (ai sensi degli artt. 5, par. 2, lett. a), 13 e 14 del Regolamento e 6, comma 3 delle Regole deontologiche), prevedendo per i pazienti non contattabili e per quelli deceduti -a beneficio dei loro aventi causa ai sensi dell’art. 2-terdecies del Codice-, la pubblicazione della predetta informativa sul sito internet istituzionale dell’Azienda per tutta la durata dello Studio (cfr. provv, del 1° novembre 2021, doc. web n. 9731827 e del 2 marzo 2023 doc. web n. 9875254).

Appare inoltre condivisibile il ragionamento svolto dal titolare del trattamento in ordine all’individuazione del periodo di conservazione dei dati e come lo stesso non possa univocamente determinarsi per tutti gli studi in quanto esso dipende dalle diverse variabili che caratterizzano una ricerca medica e in relazione allo Studio in esame la riduzione del predetto periodo, da 7 a 3 anni, ciò nel rispetto del principio di limitazione della conservazione dei dati (art. 5, par. 1, lett. e) del Regolamento). Esso, infatti, è da ritenersi pertinente e non eccedente rispetto agli scopi di ricerca scientifica che si intendono perseguire oltre che adeguato e necessario anche al fine di consentire eventuali controlli successivi da parte della comunità scientifica sulla correttezza della valutazione dei dati raccolti nel corso della ricerca.

Si osserva poi che l’Azienda, nello Studio presentato, ha dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di efficaci misure di minimizzazione durante tutta la fase del trattamento. In particolare, le specifiche esigenze scientifiche di disponibilità del dato assicurano al contempo l’effettiva applicazione del principio di minimizzazione. Da una parte, infatti, sono rimossi i dati direttamente identificativi degli interessati, dall’altra sono rimosse le informazioni non necessarie rispetto al perseguimento degli scopi della ricerca.

L’Azienda ha inoltre previsto specifiche misure tecniche ed organizzative volte ad assicurare la qualità e l’accuratezza dei dati necessari al perseguimento degli scopi dello Studio. Il titolare del trattamento, infatti, in ossequio ai principi di responsabilizzazione e di privacy by design -come chiarito in sede istruttoria- ha dichiarato che non sono previste fasi di inserimento manuale dei dati dal sistema delle cartelle cliniche “Archimed” al sistema “Redcap” utilizzato per lo Studio. L’estrazione è infatti automatizzata sulla base dell’inserimento di specifici parametri di ricerca all’esito dei quali viene prodotto in automatico un file excel che reca dati pseudonimizzati che viene poi importato sulle e-crf del sistema Redcap, tramite una funzione dedicata presente sul sistema. Il predetto file excel una volta caricato nel sistema Redcap viene cancellato.

L’Azienda ha altresì chiarito che i dati archiviati su Redcap sono poi trasferiti sul software “STATA” per le valutazioni statistiche dello Studio in forma aggregata necessarie per la redazione del report finale dello Studio e che anche in questo caso subito dopo il caricamento il file excel viene immediatamente cancellato.

L’Azienda ha infine dichiarato, ai sensi dell’art. 168 del Codice, che al termine del periodo di conservazione dei dati (3 anni) quest’ultimi saranno “anonimizzati al momento della aggregazione [degli stessi]” in occasione della pubblicazione dei risultati dello Studio.

A tale riguardo, tenuto conto del generico riferimento alla sola tecnica di aggregazione dei dati quale misura per l’anonimizzazione degli stessi al termine del trattamento o in caso di diffusione, il Garante ribadisce che un numero elevato di statistiche aggregate aumenta il potere identificativo di ciascuna di esse, fino alla possibile completa ricostruzione di un dataset (cd “reconstruction attack”). Pertanto, al fine di evitare tale rischio, è necessario che il numero delle statistiche oggetto di diffusione sia significativamente inferiore rispetto al numero delle variabili che si intendono divulgare. In altri termini, assicurando la diffusione di un numero contenuto di statistiche, si evita che attraverso calcoli matematici, si possa pervenire all’identificazione dei singoli soggetti facenti parte del campione.

Tutto ciò premesso, si ritiene necessario che l’Azienda, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, e comunque in ipotesi di condivisione dei dati con soggetti terzi, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate; ciò, al fine di scongiurare il rischio di ricostruzione di dati riferibili a singoli individui.

Inoltre, nell’ambito delle verifiche periodiche che il titolare del trattamento è comunque tenuto a svolgere anche in riferimento alla persistenza dell’efficacia delle misure di anonimizzazione dei dati e all’evoluzione tecnologica, si ritiene necessario che l’Azienda si impegni altresì a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione, e a tenere traccia di tali eventi, avendo cura di ripetere, in tale circostanza, la valutazione del rischio di re-identificazione alla luce delle cause che hanno determinato l’insorgenza di tale singolarità (cfr. sul punto, il Parere del 30 giugno 2022, doc. web 9791886 e del 7 marzo 2023, doc. web n. 9875254).

Il Garante ritiene infine che l’Azienda, ai sensi dell’art. 168 del Codice, abbia individuato nella Vip, come da ultimo modificata e corredata del parere positivo del Responsabile della protezione dei dati, misure tecniche e organizzative idonee ad assicurare adeguata tutela ai diritti e alle libertà fondamentali degli interessati, anche al fine di garantire il rispetto del principio di integrità e riservatezza dei dati.

4.2. Valutazioni in ordine al trattamento dei dati personali necessari per la realizzazione dello Studio retrospettivo osservazionale, monocentrico e no profit “Heparin induced thrombocytopenia after cardiac surgery. CE230392”

Il Garante ritiene che l’Azienda in qualità di promotore dello Studio e di titolare del trattamento abbia, anche in relazione a tale Studio, correttamente individuato le basi giuridiche del trattamento, specificando adeguatamente, nel corso dell’istruttoria svolta, i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso secondo quanto previsto dal punto 5.3 delle Prescrizioni. Tale circostanza, nel caso in esame, risulta in particolare correlata al significativo numero di malati da analizzare (circa 14.000 gestiti nei circa 9-10 anni di attività cardiochirurgica dell’Azienda), dall’elevata probabilità che essi siano deceduti in ragione dell’età media di tali pazienti (circa il 50% hanno un’età superiore a 70 anni e il 20% a 80 anni oppure versano in situazioni di fragilità cognitiva (circa il 50% dell’intera platea) tale per cui sarebbe difficile acquisirne un valido consenso. Inoltre, anche da un punto di vista organizzativo, trattandosi di uno studio no profit sarebbe eccessivamente oneroso poterli contattare. L’esclusione dallo Studio di tali pazienti produrrebbe conseguenze significative in termini di alterazione dei relativi risultati, secondo con quanto previsto dal punto 5.3 delle Prescrizioni.

Lo Studio ha inoltre ottenuto il parere favorevole del competente comitato etico a livello territoriale, elemento che si configura quale condizione di liceità e correttezza del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr. provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827). Sotto altro profilo, il Garante ritiene che l’Azienda, prevedendo la pubblicazione dell’informativa sul proprio sito internet per tutta la durata dello Studio, abbia individuato una misura efficace per l’adempimento dell’obbligo di trasparenza correlato ai trattamenti in esame, ai sensi degli artt. 5, par. 2, lett. a), 13 e 14 del Regolamento e 6, comma 3 delle Regole deontologiche, (cfr. provv. del 1° novembre 2021, doc. web n. 9731827 e del 2 marzo 2023 doc. web n. 9875254).

In termini generali l’Azienda, anche nello Studio presentato ha dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di efficaci tecniche di minimizzazione durante tutta la fase del trattamento, descritte puntualmente nella valutazione d’impatto, coma da ultimo modificata e recante il parere positivo del Responsabile della protezione dei dati. Valgono a tale riguardo le osservazioni già sopra formulate in relazione allo studio su pazienti cirrotici ricoverati per detossicazione da alcool “(Prot. TOX GHB 2022-1 OSS 21680)” anche sulle misure indicate per la pseudonimizzazione dei dati, per il loro trasferimento dal sistema delle cartelle cliniche al sistema RedCap e per l’anonimizzazione e aggregazione dei dati in occasione della loro pubblicazione.

Anche in relazione a tale Studio, pertanto, in occasione della pubblicazione dei risultati in forma aggregata, è necessario che l’Azienda assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate; ciò, al fine di scongiurare il rischio di ricostruzione di dati riferibili a singoli individui.

Inoltre, nell’ambito delle verifiche periodiche che il titolare del trattamento è tenuto a svolgere anche in riferimento alla persistenza dell’efficacia delle misure di anonimizzazione, in particolare di aggregazione dei dati in occasione della loro pubblicazione e all’evoluzione tecnologica, si ritiene necessario che l’Azienda si impegni altresì a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione, e a tenere traccia di tali eventi, e a ripetere in tale circostanza la valutazione del rischio di re-identificazione alla luce delle cause che hanno determinato l’insorgenza di tale singolarità (cfr. provv. cit. al paragrafo 4.1).

Con specifico riferimento ai tempi di conservazione, il Garante ritiene che gli stessi siano proporzionati in ragione delle motivazioni tecnico scientifiche rappresentate dall’Azienda che ha ritenuto tale termine adeguato e necessario anche al fine di consentire eventuali controlli successivi da parte della comunità scientifica sulla correttezza della valutazione dei dati raccolti nel corso della ricerca.

Il Garante, infine, ritiene che l’Azienda, ai sensi dell’art. 168 del Codice, abbia individuato, nel suo insieme, misure tecniche e organizzative idonee ad assicurare adeguata tutela ai diritti e alle libertà fondamentali degli interessati, anche al fine di garantire il rispetto del principio di integrità e riservatezza dei dati.

TUTTO CIO’ PREMESSO IL GARANTE

1. ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime Azienda Ospedaliera Universitaria Careggi, con sede legale in Largo G.A. Brambilla, 3 - 50134 Firenze, C.F. e P.I.: 04612750481, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti ai pazienti deceduti o non contattabili arruolati nello studio clinico monocentrico, retrospettivo e osservazionale su pazienti cirrotici ricoverati per detossicazione da alcool, (Prot. TOX GHB 2022-1 OSS 21680) a condizione che:

a) al termine del periodo di conservazione dei dati e comunque in occasione della pubblicazione dei risultati dello Studio in forma aggregata, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate (punto 4.1);

b) si impegni altresì a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle tecniche di anonimizzazione, in particolare di aggregazione dei dati in occasione della loro pubblicazione, e a tenere traccia di tali eventi, e a ripetere in tale circostanza la valutazione del rischio di re-identificazione alla luce delle cause che hanno determinato l’insorgenza di tale singolarità (punto 4.1);

2.  ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla medesima Azienda Ospedaliera Universitaria Careggi, con sede legale in Largo G.A. Brambilla, 3 - 50134 Firenze, C.F. e P.I.: 04612750481parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti ai pazienti deceduti o non contattabili arruolati nello studio clinico studio retrospettivo osservazionale, monocentrico e no profit “Heparin induced thrombocytopenia after cardiac surgery. CE230392”, a condizione che:

a) al termine del periodo di conservazione dei dati e comunque in occasione della pubblicazione dei risultati dello Studio in forma aggregata, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate (punto 4.2);

b) si impegni altresì a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle tecniche di anonimizzazione, in particolare di aggregazione dei dati in occasione della loro pubblicazione, e a tenere traccia di tali eventi, e a ripetere in tale circostanza la valutazione del rischio di re-identificazione alla luce delle cause che hanno determinato l’insorgenza di tale singolarità (punto 4.2).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 dicembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE

Mattei

Scheda

Doc-Web
9979453
Data
21/12/23

Argomenti

Sanità e ricerca scientifica Dati sanitari Studi epidemiologici

Tipologie

Provvedimenti ex art. 110 del Codice

Vedi anche (9)