5. Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).

Registro dei provvedimenti n. 146 del 5 giugno 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del dott. XXX, presidente, della dott.ssa XXX, vicepresidente, della dott.ssa XXX e della prof.ssa XXX, componenti, e del dott. XXX, segretario generale;

VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il "Codice") come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;

VISTE le autorizzazioni generali adottate ai sensi degli artt. 26 e 40 del Codice;

CONSIDERATO che gli artt. 26 e 40 del Codice sono stati abrogati dall’art. 27, comma 1, lett. a), n. 2), del citato d.lgs. n. 101/2018;

CONSIDERATO che l’art. 21 del d.lgs. n. 101/2018, in attuazione delle disposizioni del Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo, altresì, al loro aggiornamento ove occorrente;

RITENUTO di dare attuazione al citato art. 21 del d.lgs. n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice;

RILEVATO che l’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel Regolamento e nel Codice (art. 10 Regolamento; 2-octies del Codice e art. 21 del d.lgs. n. 101/2018), ha cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione;

CONSIDERATO che a decorrere dal 25 maggio 2018 l’espressione “dati sensibili” si intende riferita alle categorie particolari di dati di cui al citato art. 9 del Regolamento (art. 22, comma 2, del d.lgs. n.101/2018);

VISTO l’art. 9 del Regolamento, che individua i presupposti per il trattamento dei dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. “categorie particolari di dati personali”, par. 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (par. 4);

RILEVATO che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali;

VISTO l´art. 2-decies, del Codice, secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall’art. 160-bis dello stesso Codice;

CONSIDERATO che, in base all’art. 21, comma 5, del d.lgs. n. 101/2018, la violazione delle prescrizioni contenute nel presente provvedimento generale sono soggette alla sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento;

VISTO il provvedimento generale del 13 dicembre 2018, n. 497 con il quale il Garante ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice;

VISTO che con il medesimo provvedimento il Garante ha deliberato, come richiesto dall’art. 21, comma 1, d. lgs. 101/2018, di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni che si è conclusa decorsi 60 giorni dalla data di pubblicazione del relativo avviso (G. U. n. 9 dell’11 gennaio 2019);

VISTE le osservazioni e le proposte pervenute al Garante inerenti ai risvolti applicativi del richiamato provvedimento prescrittivo da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento;

RITENUTO di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonché di armonizzarle nel contesto normativo vigente;

VISTO l’art. 170 del Codice come sostituito dall’art. 15, comma 1, lett. e), del d.lgs. n. 101/2018;

VISTI gli articoli 21, comma 5, del d.lgs. n. 101/2018 e 83, par. 5 del Regolamento;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa XXX;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX del Regolamento riportate nell’allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell’art. 21, comma 2, del d.lgs. n. 101/2018.

Allegato n. 1

5. Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).

5.1 Ambito di applicazione

Le presenti prescrizioni concernono il trattamento effettuato da:

a) università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e ai soci di dette società scientifiche;

b) esercenti le professioni sanitarie e gli organismi sanitari;

c) persone fisiche o giuridiche, enti, associazioni e organismi privati, nonché soggetti specificatamente preposti al trattamento quali designati o responsabili del trattamento (ricercatori, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.) (art. 2-quaterdecies del Codice; 28 del Regolamento UE 2016/679).

5.2 Tipologie di ricerche

Le seguenti prescrizioni concernono il trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica effettuati quando:

• il trattamento è necessario per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l’esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l’esecuzione di precedenti progetti di ricerca oppure

• il trattamento è necessario per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso.

In questi casi la ricerca deve essere effettuata sulla base di un progetto, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale.

5.3 Consenso

Il consenso dell’interessato non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea.

Negli altri casi, quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, tra le quali in particolare:

1. i motivi etici riconducibili alla circostanza che l’interessato ignora la propria condizione. Rientrano in questa categoria le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi (possono rientrare in questa ipotesi, ad esempio, gli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il quale non esista un trattamento);

2. i motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo studio riguarda interessati con patologie ad elevata incidenza di mortalità o in fase terminale della malattia o in età avanzata e in gravi condizioni di salute).

Con riferimento a tali motivi di impossibilità organizzativa, le seguenti prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente) risultino essere al momento dell’arruolamento nello studio:

- deceduti o

- non contattabili.

Resta fermo l’obbligo di rendere l’informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, ciò sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo, anche al fine di consentire loro di esercitare i diritti previsti dal Regolamento;

3. motivi di salute riconducibili alla gravità dello stato clinico in cui versa l’interessato a causa del quale questi è impossibilitato a comprendere le indicazioni rese nell’informativa e a prestare validamente il consenso. In tali casi, lo studio deve essere volto al miglioramento dello stesso stato clinico in cui versa l’interessato. Inoltre, occorre comprovare che le finalità dello studio non possano essere conseguite mediante il trattamento di dati riferiti a persone in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso o con altre metodologie di ricerca. Ciò, avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché all’attendibilità dei risultati conseguibili in relazione alle specifiche finalità dello studio. Con riferimento a tali motivi, deve essere acquisito il consenso delle persone indicate nell´art. 82, comma 2, lett. a), del Codice come modificato dal d.lgs. n. 101/2018. Ciò, fermo restando che sia resa all’interessato l’informativa sul trattamento dei dati non appena le condizioni di salute glielo consentano, anche al fine dell’esercizio dei diritti previsti dal Regolamento.

5.4 Modalità di trattamento

Ove la ricerca non possa raggiungere i suoi scopi senza l’identificazione, anche temporanea, degli interessati, nel trattamento successivo alla raccolta retrospettiva dei dati, sono adottate tecniche di cifratura o di pseudonimizzazione oppure altre soluzioni che, considerato il volume dei dati trattati, la natura, l’oggetto, il contesto e le finalità del trattamento, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di necessità. In questi casi, i codici utilizzati non sono desumibili dai dati personali identificativi degli interessati, salvo che ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato e sia motivato, altresì, per iscritto, nel progetto di ricerca.

L’abbinamento al materiale di ricerca dei dati identificativi dell’interessato, sempre che sia temporaneo ed essenziale per il risultato della ricerca, è motivato, inoltre, per iscritto.

In applicazione del principio di minimizzazione, il trattamento di dati personali per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico può riguardare i dati relativi alla salute degli interessati e, solo ove indispensabili per il raggiungimento delle finalità della ricerca, congiuntamente anche i dati relativi alla vita sessuale o all’orientamento sessuale, nonché all’origine razziale ed etnica (art. 5, par. 1, lett. c), Regolamento UE 2016/679).

5.5 Comunicazione e diffusione

I soggetti che agiscono in qualità di titolari del trattamento per le finalità in esame, anche unitamente ad altri titolari, possono comunicare tra loro i dati personali oggetto della presente autorizzazione nella misura in cui rivestano il ruolo di promotore, di centro coordinatore o di centro partecipante e l’operazione di comunicazione sia indispensabile per la conduzione dello studio.

In aggiunta al divieto di diffusione dei dati relativi alla salute degli interessati (art. 2-septies del Codice), non possono essere diffusi anche quelli relativi alla vita sessuale, all’orientamento sessuale e all’origine razziale ed etnica utilizzati per la conduzione dello studio.

5.6 Conservazione dei dati e dei campioni

I dati e i campioni biologici utilizzati per l’esecuzione della ricerca sono conservati mediante tecniche di cifratura o l’utilizzazione di codici identificativi oppure di altre soluzioni che, considerato il numero dei dati e dei campioni conservati, non li rendono direttamente riconducibili agli interessati, per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

A tal fine, è indicato nel progetto di ricerca il periodo di conservazione, successivo alla conclusione dello studio, al termine del quale i predetti dati e campioni sono anonimizzati.

5.7 Custodia e sicurezza

Fermo restando l’obbligo di adottare le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, sono impiegati dal/i titolare/i del trattamento, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità, specifiche misure e accorgimenti tecnici per incrementare il livello di sicurezza dei dati trattati per l’esecuzione dello studio.

Ciò sia nella fase di memorizzazione o archiviazione dei dati (e, eventualmente, di raccolta e conservazione dei campioni biologici), sia nella fase successiva di elaborazione delle medesime informazioni, nonché nella successiva fase di trasmissione dei dati al promotore o ai soggetti esterni che collaborano con il primo per l’esecuzione dello studio. Sono adottati, in particolare:

a. accorgimenti adeguati a garantire la qualità dei dati e la corretta attribuzione agli interessati;

b. idonei accorgimenti per garantire la protezione dei dati dello studio dai rischi di accesso abusivo ai dati, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l’applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l’adozione di altre misure che rendano inintelligibili i dati ai soggetti non legittimati) nelle operazioni di registrazione e archiviazione dei dati;

c. canali di trasmissione protetti, tenendo conto dello stato dell’arte della tecnologia, nei casi in cui si renda necessaria la comunicazione dei dati raccolti nell’ambito dello studio a una banca dati centralizzata dove sono memorizzati e archiviati oppure ad un promotore o a soggetti esterni di cui lo stesso promotore si avvale per la conduzione dello studio. Laddove detta trasmissione sia effettuata mediante supporto ottico (CD-ROM) è designato uno specifico incaricato della ricezione presso il promotore ed è utilizzato, per la condivisione della chiave di cifratura dei dati, un canale di trasmissione differente da quello utilizzato per la trasmissione del contenuto;

d. tecniche di etichettatura, nella conservazione e nella trasmissione di campioni biologici, mediante codici identificativi, oppure altre soluzioni che, considerato il numero di campioni utilizzati, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di necessità;

e. con specifico riferimento alle operazioni di elaborazione dei dati dello studio memorizzati in una banca dati centralizzata, è necessario adottare:

- idonei sistemi di autenticazione e di autorizzazione per il personale preposto al trattamento in funzione dei ruoli ricoperti e delle esigenze di accesso e trattamento, avendo cura di utilizzare credenziali di validità limitata alla durata dello studio e di disattivarle al termine dello stesso;

- procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati ai soggetti designati al trattamento;

- sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

Fonte: Autorità Garante