Aggiornamento delle regole per il trattamento di dati personali per la ricerca
Nel mese di dicembre 2018 il Garante italiano ha emesso importanti provvedimenti per il mondo della ricerca scientifica sanitaria ed epidemiologica: regole deontologiche per i trattamenti nell’ambito del sistema statistico nazionale e da parte di enti di ricerca e prescrizioni contenute nelle autorizzazioni generali per trattare dati genetici e per il riuso dei dati sanitari.
Si tratta di adempimenti previsti dal D. lgs. 101/18 art. 20 e 21 (vai al d.lgs.101/18) per adeguare le autorizzazioni generali e i codici di condotta precedenti al Regolamento europeo. Il Garante ha analizzato i documenti evidenziando, nelle motivazioni dei relativi provvedimenti, tutte le parti in contrasto con il Regolamento Europeo, che devono essere disapplicate e vengono abrogate e indicando ulteriori modalità di trattamento a garanzia della protezione dei dati e della trasparenza dei trattamenti. Comune a tutte le fattispecie è la necessità di documentare adeguatamente i progetti e le cautele adottate, prevedendo in anticipo fasi e modalità di trattamento. E’ la cosiddetta privacy by design.
La materia complessa e delicata sarà all’attenzione dei ricercatori e dei responsabili delle ricerche, a cui spetta adempiere ai numerosi obblighi, individuando fra le diverse fattispecie quella che si confà ai singoli casi concreti. L’affermazione del valore della ricerca per il progresso economico e sociale si ritrova nel Regolamento nel primo considerando e la possibilità (l’obbligo) di autodefinire le regole specifiche di trattamento caso per caso, dovrebbe agevolare i ricercatori, pur con le tante limitazioni e i vincoli posti delle disposizioni dell’Autorità. Fra tutte le regole, è utile ricordare la minimizzazione: quando le circostanze lo consentono, l’uso di dati anonimi, oltre che obbligatorio, è anche la via più agevole per realizzare le finalità di ricerca scientifica in tutta legittimità e sicurezza.
Le prescrizioni delle autorizzazioni generali
E’ stata dichiarata decaduta la precedente autorizzazione generale n.2 che riguardava il trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, in quanto non conteneva prescrizioni specifiche nè aggiuntive rispetto alle attuali norme di legge.
Sono state riviste le regole dall’autorizzazione n. 8 per trattare dati genetici (a partire da una puntuale definizione di “dati genetici”) e, per questi trattamenti, viene posto l’obbligo di acquisire il consenso in determinati modi. Le persone che trattano i dati devono essere specificamente autorizzate e preparate a utilizzare sistemi con elevati standard di sicurezza e protezione. La ricerca su campioni e su dati genetici viene consentita solamente per scopi di tutela della salute (individuale o collettiva), in presenza di un progetto di ricerca dettagliato, anche sul piano della sicurezza e limitazione dei dati trattati.
I casi in cui si può procedere alla ricerca genetica senza acquisire il consenso sono limitatissimi: in particolare occorre dimostrare di aver compiuto “ogni ragionevole sforzo” per raggiungere i soggetti e che non è possibile condurre la ricerca con altri campioni di soggetti che esprimano il consenso. In tali casi, dopo il parere favorevole del Comitato etico, il progetto di ricerca viene sottoposto anche alla consultazione preventiva del Garante.
I dati genetici e i campioni non si possono comunicare ad altri ricercatori, salvo che ci sia un progetto di ricerca congiunto e sempre omettendo i dati identificativi. Chi li riceve deve sottoscrivere di non utilizzarli per altri scopi né trasferirli a terzi.
L’autorizzazione n. 9 tratta della ricerca scientifica medica, biomedica e epidemiologica condotta da università, enti e istituti di ricerca, società scientifiche, esercenti professioni sanitarie e organismi sanitari, altri soggetti (persone fisiche o giuridiche) preposti al trattamento, con dati acquisiti in precedenza per altri scopi (di cura, di ricerca) oppure con dati riferiti a persone che per la gravità del loro stato clinico non possono prestare validamente il consenso. In questi casi, occorre un dettagliato progetto, approvato dal competente comitato etico.
Si conferma che il consenso dei soggetti interessati non va richiesto se la ricerca è prevista da una norma di legge o di regolamento o quando particolari ragioni lo rendono impossibile (soggetti deceduti o irreperibili) o vi sono motivi etici o organizzativi che non lo consentono. Occorre ora indicare nel progetto le ragioni per cui non è possibile avvalersi soltanto di persone che esprimono il consenso : ad es. numerosità statistica di casi, attendibilità dei risultati, …
I dati personali devono essere, in ogni caso pseudonimizzati per impedirne l’identificazione, salvo quando l’abbinamento è ritenuto essenziale per i risultati della ricerca utilizzando, comunque, solo i dati minimi necessari . La comunicazione dei dati personal fra ricercatori è ammessa se viene fatta da un centro promotore, centro coordinatore o centro partecipate a quella ricerca ed è indispensabile per raggiungere i risultati prefissati e, come per tutte le fasi di trattamento, occorre definire regole e misure di protezione tali da scongiurare dispersioni o intrusioni.
Il progetto di ricerca deve prevedere un termine dopo il quale i dati vengono anonimizzati (si ricorda che questa operazione impedisce qualsiasi successiva connessione/aggiunta di dati a quelli originari- cosiddetto linkage).
Oltre a quanto sopra riportato, il Garante ha esaminato e modificato altre tre autorizzazioni generali riguardo ai trattamenti di dati particolari nel rapporto di lavoro, da parte di fondazioni e associazioni, e da parte di investigatori privati.
Le nuove prescrizioni sono operative dalla data di pubblicazione sulla Gazzetta Ufficiale (11 gennaio 2019) ma nei due mesi successivi chiunque può formulare osservazioni per migliorarle.
Vai all’avviso consultazione pubblica
Vai alle prescrizioni Aut. generale. n. 8 – dati genetici
Vai alle prescrizioni Aut generale n.9- ricerca scientifica
Le regole deontologiche per i trattamenti nell’ambito del sistema statistico nazionale
Riguardo ai trattamenti compresi nel sistema statistico nazionale, effettuati da enti o uffici di statistica o comunque coinvolti nei trattamenti previsti dal programma statistico nazionale, per i quali in precedenza erano fissate le regole nell’allegato A.3 del Codice, l’esame del Garante ha definito quali siano le regole ancora compatibili con il nuovo assetto normativo.
Si allarga quindi il concetto di identificabilità dei casi, in coerenza con lo spirito del Regolamento e tenendo conto del contesto tecnologico attuale¸ ma si confermano i criteri già previsti per valutare il rischio di identificazione, fra cui la regola della “soglia dei tre casi”: “si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre”.
Il programma statistico nazionale definisce per ogni trattamento (ogni scheda) i tipi di dati, i soggetti autorizzati a trattarli, le finalità, ecc ecc, ed è soggetto all’approvazione preventiva da parte del Garante. (per saperne di piu’ vai alla pagina dedicata del sito SISTAN).
Il riuso dei dati statistici elementari per finalità scientifiche è ammesso se è compreso nel programma statistico nazionale o è realizzato secondo la direttiva del COMSTAT (l’ultima è del 7 novembre 2018 – vedi sotto). Nel primo caso non occorre dare informazioni ulteriori (il programma statistico è pubblicato in Gazzetta Ufficiale) Nel secondo si possono dare le informazioni con idonea pubblicità. E’ possibile comunicare dati a soggetti non facenti parte del Sistan, sotto forma di collezioni campionarie, trattate in modo da impedire il collegamento con gli interessati.
vai alle regole deontologiche per trattamenti effettuati nell’ambito del SISTAN
vai alla direttiva 11 COMSTAT – 7 novembre 2018
Le regole deontologiche per la ricerca scientifica
Le regole al riguardo erano contenute in precedenza nell’allegato A.4 del Codice, ed erano state definite dai vari componenti della comunità scientifica. Come per il sistema statistico l’esame del Garante ha definito quali siano le regole ancora compatibili con il nuovo assetto normativo e, in più, ha definito quali siano i soggetti rientranti in questo caso. Si tratta di “organismi pubblici o privati per i quali la finalità statistica o di ricerca scientifica risulta dagli scopi dell’istituzione e la cui attività scientifica è documentabile” (art 1- d)), di università, di società scientifiche e dei loro soci, singoli ricercatori che operano in tali strutture.
Le ricerche non devono essere connesse con le attività di tutela della salute svolte da esercenti le professioni sanitarie o organismi sanitari, che sono regolate dalle disposizioni di legge e dalle autorizzazioni generali 8 e 9 sopra illustrate.
Anche per questo tipo di ricerche scientifiche occorre un progetto atto a dimostrare gli scopi del trattamento e le misure di tutela dei dati, le persone responsabili e la dichiarazione di attenersi alle regole deontologiche. Tale dichiarazione dev’essere sottoscritta da tutti i professionisti coinvolti.
Vengono, inoltre, illustrati i criteri da considerare per il rischio di identificabilità di un individuo e confermata l’indicazione della frequenza pari a tre per ogni variabile per poter dichiarare la non identificabilità (ossia che il database contiene dati anonimi).
Regole dettagliate vengono poste per fornire l’informativa, anche quando i dati non sono raccolti direttamente e sono raccolti in ambiti vasti; fra queste, viene indicata la pubblicazione delle informazioni su quotidiani di rango adeguato alla scala della ricerca o la pubblicazione su siti di categoria. Nel caso di dati particolari occorre il consenso dell’interessato oppure si utilizzano dati anonimi.
La ricerca medica, biomedica ed epidemiologica che non ha ricaduta significativa sull’interessato, deve svolgersi nel rispetto delle regole etiche internazionali e comunitarie e deve lasciare al soggetto aderente la scelta di conoscere o meno i risultati specifici a lui riferiti.
I dati personali possono essere conservati per il tempo necessario a raggiungere i risultati della ricerca, devono essere utilizzati solamente per quello scopo e vanno protetti da dispersioni, alterazioni, furti e usi diversi.
Le regole deontologiche sono operative dalla loro pubblicazione in Gazzetta ufficiale, il 14 gennaio 2019.
La comunità scientifica ha facoltà di proporre modifiche a queste regole e definire a regime un testo nuovo, che dovrà essere sottoposto a consultazione pubblica.
vai alle Regole deontologiche per la ricerca scientifica
fonte: DORS