Ricerca scientifica e protezione dei dati personali: come essere compliant alla normativa
5 Ottobre 2022 in Audit & Compliance
Un sistema normativo complesso incombe sul mondo della ricerca scientifica in ambito sanitario. Per operare nel pieno rispetto della compliance di settore, una struttura sanitariache conduce studi e sperimentazioni cliniche è tenuta a conoscere la disciplina regolatoria in materia di trattamento dei dati personali.. Diversamente, la struttura sanitaria sarà tenuta a valutare e ponderare scelte che comporteranno un rischio significativo in termini di mancato adeguamento alla normativa europea e nazionale nonché ai provvedimenti dell’Autorità Garante per la protezione dei dati emessi in materia. ,
Ricerca scientifica e protezione dei dati personali: la regolamentazione
Con ricerca scientifica si richiama il termine generalmente utilizzato all’interno di alcune fonti normative sulla protezione dei dati, come nel regolamento europeo sulla protezione dei dati personali- GDPR, prescindendo dalla distinzione dei diversi ambiti. E’ possibile, infatti, considerare alcune declinazioni della ricerca scientifica rispetto alle quali si aprono le maggior sfide dei soggetti, a vario titolo, coinvolti:
- Sperimentazione clinica sull’uomo. Si tratta di un ambito di ricerca scientifica fortemente regolamentato anche con riguardo alla protezione dei dati personali.
- Studio osservazionale prospettico e retrospettivo. Si tratta di due ambiti di ricerca con una regolamentazione frammentata ed eterogenea tale da richiedere una maggiore conoscenza e interpretazione delle diverse fonti attualmente in essere. La notevole varietà delle fonti regolatorie richiede agli attori coinvolti un significativo sforzo nella corretta impostazione, e gestione nel tempo, dei dati personali. Se, tendenzialmente, gli studi prospettici possono essere «gestiti» anche attuando in parte l’iter della sperimentazione clinica, condividendone alcune analogie come il contatto diretto con l’arruolato, quelli retrospettivi espongono la struttura sanitaria, generalmente Titolare del trattamento, a maggiori sfide in termini di compliance, non escludendo anche la possibilità di valutare scelte di accountability e, quindi, a ponderarne i relativi e, sempreché predeterminabili, rischi di conformità all’intero sistema normativo data protection.
Entriamo più nello specifico approfondendo la compliance in merito ai due campi di applicazione della ricerca scientifica.
Ricerca scientifica e protezione dei dati personali: la sperimentazione clinica sull’uomo
L’ambito della sperimentazione clinica sull’uomo è fortemente regolamentato sia a livello nazionale sia sovranazionale, per cui la strada della compliance è abbastanza tracciata.
Questo tipo di sperimentazione, in generale, prevede che lo Sponsor promuova l’avvio dello studio, lo gestisca e, a seconda dei casi, lo finanzi. In questo processo, assume un ruolo “attivo” nella gestione dei dati personali, sin dalla fase di raccolta del dato e fino alla sua conservazione. Il flusso dei dati avviene tradizionalmente tra il Centro di sperimentazione, fonte principale dei dati personali, e lo stesso Sponsor, anche tramite i suoi suppliers – in particolare le CRO e il Clinical Study Monitor.
In ogni fase del processo di gestione della sperimentazione clinica, il Centro – in quanto soggetto che interagisce direttamente con il paziente arruolato – e lo Sponsor sono chiamati a definire un sistema che garantisca la riservatezza, l’integrità e la disponibilità dei dati, quindi ad assicurare una compliance aziendalecome richiesta sia dalla regolamentazione sugli studi clinici quanto da quella sulla protezione dei dati.
Tra i vari adempimenti, deve quindi essere prevista anzitutto un’informativa sul trattamento dei dati personali che abbia come destinatario il paziente ed idonea a renderlo edotto dell’avvio della sperimentazione e delle modalità di raccolta ed elaborazione dei dati personali durante l’intero ciclo del progetto di ricerca.
Ricerca scientifica e protezione dei dati personali: lo studio osservazionale retrospettivo
Lo studio osservazionale retrospettivo, generalmente, deriva dall’opportunità della struttura sanitaria di analizzare i dati clinici e informazioni sanitarie già presenti in un dato momento nei sistemi o negli archivi aziendali, con lo scopo di condurre uno studio specifico ti. A differenza della sperimentazione clinica, i dati dei pazienti sono stati raccolti in un momento antecedente e per finalità diverse dalla ricerca, in particolare per l’esecuzione di visite,esami ed in generale attività di cura del paziente
In uno dei casi più classici, lo studio osservazionale retrospettivo inizia nel momento in cui l’ospedale decide di avviare un’indagine scientifica su tutti dati relativi, ad esempio, a una determinata patologia e risolvere così un problema clinico. In questo caso, la procedura può prevedere l’analisi di tutti i dati raccolti per finalità di cura degli assistiti che si sono rivolti alla struttura per la cura della patologia oggetto di approfondimento.
La normativa nazionale sulla protezione dei dati, in linea di principio, ha delineato due strade alternative a seconda della natura della struttura sanitaria coinvolta:
- Gli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS), quali strutture di eccellenza “che perseguono finalità di ricerca nel campo biomedico e in quello della organizzazione e gestione dei servizi sanitari”–possono riutilizzare i dati raccolti in precedenza per finalità di cura per condurre il nuovo studio e trovare soluzioni innovative al problema in oggetto. Il paziente, in questo caso, non deve manifestare alcun consenso all’uso ulteriore dei propri dati personali perché l’attività di assistenza sanitaria è considerata “strumentale” all’attività di ricerca scientifica svolta dagli IRCCS.
- le strutture sanitarie non qualificate come IRCCS, per poter procedere con l’uso ulteriore dei dati personali devonorichiedere ai pazienti arruolati uno specifico consenso . In questo caso, la struttura sanitaria potrebbe trovarsi di fronte a difficoltà organizzative e la consulenza di un interlocutore di rilievo può rivelarsi di grande aiuto: la casistica conta anche situazioni particolarmente complesse, risolte attraverso la richiesta di autorizzazione preventiva dell’Autorità Garante per la protezione dei dati personali, sviluppando sistemi efficienti di raccolta del consenso e formalizzando le valutazioni effettuate ottemperanza ai principi di accountability e di valutazione dei rischi per i diritti e delle libertà degli interessati.
In generale, occorre considerare che ogni progetto di ricerca scientifica presuppone un’attenta analisi secondo il principio di privacy by design e by default, al fine dell’individuazione delle puntuali finalità del trattamento, della natura e delle modalità di conduzione dello studio, dei flussi dei dati personali e di tutti gli attori coinvolti.. Con la chiusura del singolo progetto di ricerca, la struttura sanitaria è tenuta a presiedere l’osservanza di vincoli che attendono sia alla conservazione dei dati (data retention, pseudonimizzazione e/o anonimizzazione dei dati etc.) quanto alla gestione dei diritti che l’interessato può esercitare sui propri dati. Pertanto si rivela essenziale la consulenza di un partner affidabile e dalla solida esperienza, un tassello essenziale del percorso verso la compliance normativa a 360 gradi.