GDPR e Ricerca Clinica

A cura di Alessia Rubini

 

GDPR

In questi giorni sentiamo molto parlare di GDPR e trattamento dei dati personali, molti siti a cui ci siamo
registrati in passato ci hanno inviato link alle nuove regole in termini di privacy o ci informano sulle
modifiche. Perché? Cos’è GDPR?

GDPR (General Data Protection Regulation) è il regolamento UE 2016/679 entrato in vigore il 24 maggio
2016 che diventerà applicabile in tutti i paesi dell’Unione Europea il 25 maggio 2018.
Rappresenta una svolta epocale in materia di protezione dei dati personali perché per la prima volta ci sarà
un’unica legge applicabile in tutta l’UE che regolerà uniformemente il flusso dei dati tra gli Stati membri e
tra questi e gli Stati Extra-UE in modo da garantire anche uniformità nella tutela dei diritti dei soggetti.

 

Le novità principali introdotte sono le seguenti:

  • AMBITO DI APPLICAZIONE: CRITERIO DELLO STABILIMENTO DEGLI INTERESSATI NELL’UE
    Precedentemente veniva applicata la legge sulla privacy vigente nel paese in cui i dati dei soggetti
    venivano trattati ed elaborati;
    Con il nuovo regolamento invece si dovrà fare riferimento ai soggetti stessi e a dove essi sono
    stabiliti, il che significa che qualsiasi azienda si rivolga a soggetti/enti/cittadini residenti in UE dovrà
    necessariamente sottostare al GDPR.
  • RUOLI ISTITUITI NEL TRATTAMENTO
    Ai ruoli già esistenti (titolare del trattamento, responsabile del trattamento, incaricato/autorizzato
    al trattamento) si aggiunge una nuova figura, quella del DPO Data Protection Officer. Si tratta di
    una sorta di controllore che dovrà monitorare regolarmente e sistematicamente il rispetto delle
    normative e si porrà come punto di contatto tra AUTORITA’ e SOGGETTI INTERESSATI. Le modalità
    per interpellare il DPO dovranno essere ben chiare e fornite a chiunque sottoscriva un trattamento
    dei dati personali.
  • PRINCIPIO DI ACCOUNTABILITY
    Si tratta della responsabilizzazione del titolare che avrà molti meno obblighi formali e burocratici
    ma obblighi reali più importanti: sarà onere suo analizzare sin dalla progettazione di un nuovo
    progetto aziendale l’impatto privacy (DPIA). Di particolare importanza:
    – Essenzialità dei dati che si intende raccogliere rispetto alla finalità
    Sarà necessario che i dati siano il minor numero possibile e strettamente legati all’obiettivo
    di tale raccolta, non sarà più possibile raccogliere informazioni aggiuntive o non pertinenti;
    – Tempo di conservazione
    Dovrà essere il minore possibile e sempre specificato all’interno dell’informativa
    sottoscritta;
    o Misure di sicurezza organizzative interne, esterne e tecniche
    Riguarderanno sia le modalità di accesso ai dati sia i soggetti che potranno utilizzarli.
  • SANZIONI
    Significativamente aumentate potranno raggiungere i 20 milioni di euro oppure il 4% del fatturato
    totale mondiale annuo nel caso di aziende. Si parla quindi di cifre non trascurabili.

 

Alcune grandi novità riguardano anche le modalità di rilascio dell’informativa:

  • Prima di tutto si pone particolare attenzione al linguaggio con cui viene scritta, che dovrà
    necessariamente essere SEMPLICE e CHIARO; addirittura la tendenza che viene suggerita da molti
    fronti è quella di adottare un sistema simbolico universalmente accettato, soluzione non ancora
    introdotta ma in fase di elaborazione;
  • È previsto l’esonero dell’obbligo di informativa qualora tale obbligo comporti uno sforzo
    sproporzionato o risulti impossibile. Tale possibilità era già prevista anche nel Codice Privacy
    attualmente vigente in Italia ma subordinato all’autorizzazione del Garante. Nel GDPR la
    valutazione dell’attuabilità di tale eccezione sarà lasciata completamente al Titolare, nel rispetto del
    principio di accountability di cui sopra;
  • Dovrà essere possibile revocare il consenso con la stessa facilità con cui questo è stato accordato;

 

RICERCA SCIENTIFICA

Nell’ambito della ricerca scientifica queste novità sono di particolare impatto in quanto il consenso informato
e l’utilizzo dei dati personali sono argomenti di primaria importanza. In linea generale si potrebbe dire che il
GDPR agevola la ricerca, cercando di snellire la burocrazia puntando invece sull’accountability del titolare: a
tale scopo per esempio non sarà più richiesta un’autorizzazione preventiva (del Garante) ma sarà il titolare
stesso a prendersi la responsabilità attraverso la DPIA, valutazione di impatto privacy.

Un’altra agevolazione è l’eccezione al consenso specifico nei casi in cui le finalità della ricerca, e di
conseguenza del trattamento dati, non siano ben chiare al momento della raccolta dei dati: tali finalità
potranno essere descritte a livello più generale e il titolare dovrà garantire in altri modi la tutela dei soggetti.
Un esempio è il consenso progressivo che consiste nell’ottenere autorizzazioni per scopi generali per poi
sottoporre consensi più specifici man mano che gli scopi vengono determinati, prima di passare a fasi
successive.

 

Il GDPR definisce anche le misure di sicurezza dei dati da attuare nel caso di ricerca scientifica:

  • MINIMIZZAZIONE: i dati personali sono ADEGUATI, PERTINENTI e LIMITATI a quanto necessario
    rispetto alle finalità per le quali sono trattati;
  • PSEUDONIMIZZAZIONE: i dati personali non possono più essere ricondotti al soggetto specifico senza
    l’utilizzo di informazioni aggiuntive (conservate separatamente e ad accesso limitato);
    nel caso dell’ANONIMIZZAZZIONE, in cui risulta completamente impossibile ricondurre i dati ad un
    soggetto specifico, non si è più soggetti al GDPR.

Detto che lo scopo del GDPR è agevolare la ricerca scientifica, il legislatore italiano ha emanato la legge
167/17 entrata in vigore il 27 novembre 2017 con lo scopo di armonizzare la normativa nazionale con la
nuova normativa europea. Tale intervento, avvertito dalla maggioranza come poco chiaro e ambiguo,
reintroduce dei vincoli importanti, quale la richiesta preventiva al Garante con formula silenzio-rigetto, che
rischiano di limitare nuovamente la ricerca scientifica.

Premettendo che il legislatore italiano non può in alcun modo contrastare l’intento del legislatore europeo,
e nonostante l’imminente entrata in vigore del nuovo regolamento, restano numerosi punti da comprendere
e chiarire e ci si augura che presto qualcuno intervenga in merito.

 

E ADESSO CHE SUCCEDERA’?

Molti sono i dubbi e le incertezze relative al comportamento da attuare in materia di consenso informato e
informativa privacy per studi clinici già in corso.
L’ipotesi più accreditata al momento è che l’informativa sarà sicuramente da adeguare e da sottoporre
nuovamente introducendo i concetti nuovi quali DPO, diritti del soggetto, tempistiche di conservazione dei
dati. Per quanto riguarda il consenso invece, potrebbe non essere necessaria una nuova richiesta se le finalità
della raccolta dati sono corrette ed in linea con le nuove richieste.

 

Alessia Rubini: biografia

Dopo la laurea in farmacia ottenuta nel 2012 ho deciso di intraprendere la carriera da Farmacista territoriale all’interno di diverse realtà private della mia zona.

A fine del 2017 ho iniziato a pensare che il mondo della farmacia non facesse più per me ed ho meditato sulla possibilità di trovare un settore alternativo a cui dedicarmi, che mi permettesse comunque di sfruttare la mia laurea e le mie conoscenze scientifiche.

Dopo un po’ di ricerche ho individuato nella ricerca clinica la soluzione al mio malcontento e a marzo 2018 ho intrapreso il percorso di Missione CRA, dapprima con i videocorsi e successivamente con le 48 ore di formazione in aula, che mi ha permesso di chiarire molti dubbi e capire la strategia migliore per raggiungere il mio obiettivo.

Da Aprile 2018 sono Data Manager tirocinante presso l’ospedale della mia città e tramite una CRO di Roma sto svolgendo delle visite di monitoraggio in affiancamento, che mi permetteranno di ottenere la qualifica di CRA certificato.

 

Per informazioni sul programma delle visite di monitoraggio in affiancamento contatta Stefano Lagravinese a lagravinese[chiocciolina]crasecrets.com.