L’interlocuzione tra epidemiologi e Data protection officer

Intervista a Silvio Noce1

1Avvocato - Ufficio Data protection officer di Regione Emilia-Romagna, di Regione Toscana e di altri enti pubblici.

Quali sono gli aspetti più critici che ti capita di dover valutare in relazione alla verifica di conformità degli studi epidemiologi che ti vengono sottoposti?

Il tema preliminare della mia analisi è definire la collocazione dello studio epidemiologico prospettato in una precisa cornice normativa. Tale esame costituisce, a tutti gli effetti, una valutazione in ordine alle finalità perseguite dallo studio e non sulle modalità di conduzione, che molto spesso sono trasversali. In termini sostanziali è possibile considerare una classificazione degli ambiti delle funzioni epidemiologiche in Preventiva (riferita alle azioni di prevenzione), Diagnostica (legata alla cura), Programmazione e valutazione dell’assistenza sanitaria, Statistica e Ricerca. Per ciascuna di tali finalità il quadro normativo di riferimento muta e sono diversi i rimedi necessari a raggiungere un adeguato livello di conformità. A titolo esemplificativo, le attività di programmazione sanitaria e di valutazione hanno ricevuto una profonda regolamentazione e, pertanto, lo studio andrà veicolato sui binari definiti già dalla norma, anche in tema di interconnessione dei dati. A ogni buon conto, in termini di aderenza al principio di liceità non ho dubbi nel confermare che ho riscontrato le criticità più rilevanti per quel che concerne la ricerca epidemiologica. Il legislatore italiano ha disciplinato specificatamente gli studi medici, biomedici ed epidemiologici (perché il Gdpr prevede espressamente ambiti di intervento degli Stati membri) e la disciplina è molto rigorosa, soprattutto con riferimento ai casi in cui non è possibile recepire il consenso degli interessati. In tali casi, le alternative sono prevedere lo studio in legge o regolamento oppure ottenere parere del comitato etico territorialmente competente, fare una valutazione d’impatto ex art. 35 del Gdpr e consultare obbligatoriamente l’Autorità Garante. Emerge una sostanziale e diffusa disapplicazione della norma che l’ufficio del Data protection officer (Dpo) non può avallare e sono numerosi i contrasti, anche interistituzionali, che quotidianamente siamo tenuti a risolvere.

Quali sono i punti salienti per strutturare il consenso in studi che prevedano il reclutamento di pazienti in modo tale da tutelare l’individuo ma, allo stesso tempo, permettere di utilizzare il dato nel solco di quello che la normativa consente? Quando il consenso può essere superato? E negli studi che utilizzano flussi amministrativi sanitari?

In via preliminare deve essere chiarito che, con relazione agli ambiti delle funzioni epidemiologiche di cui alla precedente risposta, solo la ricerca può essere supportata dalla base giuridica del consenso. Negli altri casi, la base giuridica dei trattamenti che ne derivano è costituita dall’esercizio di un interesse pubblico che deve essere coerentemente declinato da una norma di legge, di regolamento o da un atto amministrativo generale.

Il consenso deve essere “inequivocabile” e specifico (oltre che libero) per il trattamento di dati personali che dovrà essere compiutamente descritte nell’informativa ex art. 13 del Gdpr. La specificità del consenso può rappresentare una sfida per l’attività di ricerca, in quanto spesso non è agevole individuare correttamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Per tale ragione il considerando 33 prevede che dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Tuttavia, va escluso il ricorso al cosiddetto “broad consent”, in quanto siffatta lettura costituirebbe un’elusione conclamata di uno dei concetti chiave del Gdpr, ovvero quello dell’individuazione di una finalità specifica su cui l’interessato può prestare il proprio consenso.

Il consenso può essere superato, come detto prima, in aderenza all’art. 110 del Codice per la protezione dei dati personali, ovvero disciplinando lo studio con norma di legge o di regolamento oppure ottenendo parere favorevole dal Comitato Etico e consultare il Garante per la protezione dei dati personali dopo aver svolto una valutazione d’impatto.

Quali misure devono essere attuate al fine di strutturare correttamente uno studio?

Il Gdpr ribadisce il favor del legislatore europeo per i trattamenti aventi finalità di ricerca, siano essi primari o secondari, confermando l’approccio della precedente direttiva 95/46/CE. La disciplina generale è definita all’art. 89 che dispone una disciplina di favore pur condizionata all’assunzione di adeguate garanzie per i diritti e le libertà degli interessati. A titolo esemplificativo, le suddette misure potranno, in aderenza al principio di minimizzazione, determinare i ricercatori a utilizzare tecniche di pseudonimizzazione o di anonimizzazione. Sul punto, nella mia esperienza ho riscontrato una scarsa sensibilità e conoscenza dei ricercatori in ordine all’utilizzo di tali tecniche che, riportando una delle misure concertate con l’Autorità in uno specifico studio, dovrebbero quantomeno condurre ad assegnare all’unità oggetto di studio un codice pseudonimo certamente distinto da quello eventualmente presente nelle fonti di dati assunte allo studio. In termini prospettici, ritengo che il legislatore dovrebbe considerare la definizione di ambienti protetti in cui università, aziende sanitarie e regioni possano utilizzare i dati nel rispetto dei diritti e delle libertà degli interessati. In tali ambienti dovrebbero essere implementate misure come la cifratura omomorfica (ci sono iniziative che l’hanno resa scalabile e performante) o i dati sintetici (che personalmente mi convincono meno) che determinano considerevole “distanza” tra il dato puro e chi ne fruisce. Tali sistemi potrebbero consentire la costituzione di ambienti in cui consentire legittimamente trattare dati personali per finalità di ricerca, anche senza il consenso dell’interessato.