Sono passati solo pochi giorni da quando abbiamo parlato delle criticità sull’applicazione del regolamento europeo per la protezione dei dati personali (Gdpr) nel campo della ricerca clinica sollevate dall’Associazione delle società scientifiche europee BioMedAlliance (vedi qui l’articolo).  Criticità alle quali la DG Santé della Commissione europea ha risposto con un documento Q&A che illustra le interrelazioni tra il nuovo regolamento europeo sui Clinical Trial (EU/536/2014; CTR) e il regolamento Gdpr (EU/2016/679) alla luce degli esiti della consultazione dello European Data protection Board. La visione offerta dalla nuova linea guida non è immediatamente applicabile (tranne per quanto riguarda la domanda 11, riferita al periodo di vigenza residua dell’attuale Direttiva), ma lo diventerà solo dopo l’entrata in vigore della nuova normativa europea sugli studi clinici.

Si applicano entrambe le normative

La domanda 1 considera gli obblighi generali che gli sponsor degli studi clinici dovranno seguire in materia di protezione dei dati personali nel corso degli studi clinici. Vanno applicate entrambe le normative, quella sui clinical trial e quella sui dati personali, sottolineano le Q&A, in quanto gli sponsor sono chiamati a registrare, conservare e gestire i dati nel rispetto della loro confidenzialità, al fine di riportarli e interpretarli in modo accurato e verificabile a supporto del processo regolatorio di approvazione del prodotto medicinale sotto studio. La responsabilità per la corretta applicazione del regolamento Gdpr cade sul controller dei dati (lo sponsor o l’ente a cui appartiene il ricercatore clinico), che deve implementare tutte le misure tecniche ed organizzative necessarie a tal fine (Q2), compresa l’eventuale assunzione di un Data protection officer. È quindi il controller dei dati che deve determinare anche la base legale per il trattamento dei dati personali. In caso di network di ricerca localizzati in Stati diversi, l’autorità competente che ne è a capo deve coordinarsi con quelle degli altri paesi coinvolti per garantire la consistenza nell’applicazione della normativa sui dati personali.

Trattamento dei dati per scopi primari di ricerca

I dati personali acquisiti in riferimento a uno specifico protocollo clinico ricadono nel campo di utilizzo primario, anche se non tutte le operazioni di trattamento a cui vengono sottoposti potrebbero avere lo stesso scopo e, quindi, la stessa base legale (Q3). Il requisito della trasparenza deve guidare le scelte dei controller in materia di protezione dei dati personali, e le operazioni che li riguardano dovrebbero finalizzate unicamente alle attività di ricerca dovrebbero essere chiaramente distinte da quelle più genericamente indirizzate alla protezione della salute, sottolineano le Q&A.

All’interno delle operazioni sui dati personali necessarie per adempiere agli obblighi legali del controller (ex art. 6-1.c del Gdpr) ricadono, ad esempio, gli obblighi di reporting degli eventi avversi ai fini delle valutazioni di safety, quelli relativi all’archiviazione dei drug master file per venticinque anni, o delle cartelle cliniche e dei dati richiesti in sede d’ispezione secondo quanto previsto dalle normative nazionali.

Tre sono, invece, gli scopi che possono giustificare un utilizzo dei dati per scopi di ricerca: il perseguimento di un interesse pubblico (ex art. 6-1.e e art. 9-2.i o .j del Gdpr), un interesse legittimo del controller (ex art. 6-1.f e art. 9-2.j del Gdpr), o circostanze specifiche per le quali va raccolto un consenso esplicito dei detentori dei dati (ex art. 6-1.a e art. 9-2.a). Rientrano nel primo caso le eventuali attività di ricerca clinica condotte a salvaguardia della salute pubblica, mentre il secondo aprirebbe le porte ad un uso legittimo anche per altri scopi di ricerca non direttamente collegabili a un interesse pubblico. Infatti, specificano le Q&A, in tali casi il trattamento dei dati personali potrebbe essere “necessario per gli scopi degli interessi legittimi perseguiti dal controller o da una parte terza, tranne ove tali interessi siano scavalcati dagli interessi o dai diritti fondamentali e dalle libertà del soggetto dei dati“. Nel terzo caso, infine, attenzione va posta sul fatto che il consenso dei detentori dei dati sia sempre effettivamente “libero” (basato su una reale possibilità di scelta) e che essi possano mantenere il pieno controllo sui propri dati personali. Il ricorso al consenso, sottolinea il documento, dovrebbe comunque essere perseguito solo nella minoranza dei casi, in quanto potrebbe venire a creasi uno sbilanciamento di potere tra i partecipanti agli studi e gli sponsor /investigators, a sfavore dei primi.

C’è consenso e consenso

Non vanno confusi gli scopi del consenso prestato ai fini della realizzazione di uno studio clinico con quelli relativi al campo applicativo del Gdpr (Q4). nel primo caso, il consenso prestato dal paziente rappresenta la base etica e procedurale per la conduzione dello studio, che consente l’inclusione del paziente nelle coorti. Tale consenso non è, invece, uno strumento a giustificazione della compliance nelle modalità di trattamento dei dati, né tantomeno ne rappresenta la base legale, che va invece ricercata nei tre casi sopra citati.
I pazienti, quindi, devono ricevere sia le informazioni relative allo studio clinico specificate dal regolamento CTR che quelle relative alla base legale per il trattamento dei dati in accordo al Gdpr (Q5). Se, poi, un paziente decidesse di ritirarsi dallo studio clinico, ciò non va a pregiudicare le attività già effettuate e la possibilità di utilizzare i dati ad esse relativi, purché vi sia un’adeguata base legale (Q6). In mancanza di essa, il controller deve sincerarsi che i dati vengano distrutti, sottolineano le Q&A.

L’uso secondario per scopi di ricerca

La possibilità di utilizzare i dati dei pazienti raccolti durante uno studio clinico per condurre più in là nel tempo nuove ricerche al di fuori dello specifico protocollo clinico (il cosiddetto “uso secondario” dei dati) è una delle principali criticità applicative del regolamento Gdpr in campo clinico. Secondo tale normativa, tale uso è permesso purché i dati siano stati anonimizzati: non sono quindi più riconoscibili e pertanto non rientrano più nel campo applicativo del Gdpr.

Diverso è il caso dei dati pseudo-anonimizzati, per i quali l’utilizzo è possibile solo se è disponibile una valida base legale (Q7), che può essere uguale o diversa da quella su cui era stato basato l’uso primario. Anche in presenza di una presunzione di compatibilità, sottolineano le Q&A, le ulteriori attività di ricerca scientifica condotte a partire dai dati raccolti non esentano il  controller dall’assicurare la conformità a tutti i requisiti della normativa sulla protezione dei dati.

Tra i requisiti delineati dalla linea guida della Commissione, il nuovo utilizzo dei dati non deve essere imcompatibile con gli scopi iniziali per cui sono stati raccolti. Il nuovo consenso deve essere prestato liberamente e in modo non ambiguo, e la persona deve essere informata della possibilità di ritirarlo in qualsiasi momento. Deve essere inoltre consentito prestare il consenso all’uso dei dati per scopi di ricerca solo con riferimento a campi limitati della stessa, e rispondenti a specifici standard etici. Lo scopo dello studio, inoltre, deve essere chiaramente descritto per poter utilizzare i dati personali che utilizzano il consenso come base legale. Nel caso in cui il consenso per l’uso secondario venga richiesto unitamente a quello per l’uso primario, le due voci devono essere chiaramente distinte in modo da non generare confusione nei pazienti. Le Q&A indicano a tal fine l’opportunità di usare un foglio separato per il consenso per usi secondari, consenso che deve indicare in modo chiaro i fini specifici della ricerca per cui viene acquisito.

Se lo scopo è rispondere a un’emergenza

La domanda 8 affronta il tema degli studi clinici volti a fronteggiare un’emergenza, nel qual caso i pazienti possono venire arruolati in via eccezionale anche senza aver prestato un consenso specifico (art. 35 CTR). Tale consenso (che non rappresenta comunque la base legale per il trattamento dei dati, che va piuttosto ricercata nell’interesse per la salute pubblica) va comunque cercato tempestivamente a livello del paziente o del suo rappresentante legale e, ove non sia possibile acquisirlo, il paziente va escluso dallo studio. In caso di morte del paziente, i suoi dati non rientrano più nel campo di applicazione del regolamento Gdpr e vanno pertanto trattati in conformità alle normative nazionali.

Quando il controller è extra-Ue

Il regolamento Gdpr si applica anche se chi effettua il controllo e il trattamento dei dati è basato al di fuori dell’Unione europea, in quanto le attività sono comunque finalizzate a fornire prodotti e/o servizi a parsone residenti sul territorio dell’Unione (Q9). Il Gdpr richiede in tal caso di nominare un rappresentante legale per l’UE.

Le norme sul trasferimento internazionale dei dati si applicano a tutti quei casi in cui i dati acquisiti sul territorio europeo vengano poi trasferiti a controller o centri di trattamento basati al di fuori dell’Unione (Q 10), in base alla Direttiva 95/46 che non è stata modificata, ma piuttosto ampliata, dall’entrata in vigore del Gdpr. Le modalità per il trasferimento vanno valutate su base del singolo caso, e possono in generale includere una decisione di adeguatezza dal parte della Commissione, un accordo comprendente adeguate salvaguardie per la protezione dei dati o deroghe finalizzate alla tutela dell’interesse pubblico (ex ert 49 Gdpr).

ARTICOLI CORRELATIALTRI ARTICOLI DI QUESTO AUTORE