Privacy e etica nella ricerca biologica

Esplora le linee guida etiche e normative per la privacy nella ricerca biologica. Scopri come medici e ricercatori possono navigare il quadro normativo, garantendo il rispetto dei diritti individuali e la sicurezza dei dati nella continua ricerca medica.

Sommario

  1. Ricerca biologica e privacy
  2. Il GDPR e la ricerca medica
  3. Il consenso del paziente su cui viene condotta la ricerca
  4. La base giuridica per la ricerca biologica
  5. Le linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali

La ricerca biologica è un settore in continua evoluzione e rappresenta un pilastro fondamentale per l'avanzamento della medicina, dove spesso vanno a collidere interessi contrapposti: da un lato la ricerca del profitto da parte di chi finanzia la ricerca, dall'altro l'interesse dei pazienti a ottenere cure migliori per le patologie che li affliggono.

Secondo la Dichiarazione di Helsinski, la ricerca medica deve essere condotta nel rispetto di tre principi generali:

  1. rispetto della persona, sia come rispetto dell'autonomia dell'individuo che come protezione degli individui con autonomia compromessa o diminuita,
  2. principio di beneficenza,
  3. principio di giustizia.

La persona coinvolta nella ricerca medica deve essere in grado di compiere le proprie scelte individualmente e deve essere trattata nel rispetto della propria capacità di autodeterminazione; allo stesso modo, gli individui dipendenti da altri a causa di un'autonomia compromessa o ridotta devono essere garantiti da eventuali danni o violenze.

In virtù del principio di beneficenza, chiunque operi nell'ambito della ricerca medica deve trattare le persone con giustizia ed equità: per questo motivo, i vantaggi e gli svantaggi che possono derivare dalla partecipazione alla ricerca devono essere equamente distribuiti, e nell'ipotesi di individui particolarmente vulnerabili, questi devono essere protetti nei loro diritti e nel loro benessere.

Una ricerca è giustificata solo se la popolazione oggetto di studio potrà usufruire degli eventuali benefici che ne derivano, in modo da evitare che le popolazioni più ricche possano sfruttare quelle più povere testando su queste ultime nuovi farmaci che poi vengano messi a disposizione solo di chi ha i soldi per comprarli.

Qualunque studio volto a documentare l'efficacia di un trattamento, per essere considerato eticamente sostenibile, deve comunque garantire ai partecipanti la migliore terapia disponibile; solo in mancanza di un trattamento efficace si potrà ricorrere al confronto con un placebo. Tutti gli sperimentatori che partecipano allo studio devono, inoltre, dichiarare l'esistenza di eventuali interessi economici o altri potenziali conflitti di interesse, in modo tale da scongiurare il potenziale rischio che i dati della ricerca vengano interpretati per finalità diverse da quella scientifica.

Lo svolgimento di una ricerca, per essere considerato eticamente accettabile, deve riuscire a dare risposte in termini di miglioramento della salute, aumento delle informazioni scientifiche e riduzione degli sprechi.

Ulteriore principio fondante l'etica della ricerca è quello del consenso informato degli individui che si sottopongono alle sperimentazioni, sia in relazione alle attuali prospettive di utilizzo dei materiali biologici che dei dati dei pazienti.

Visualizza e scarica la guida

Esplora le linee guida etiche e normative per la privacy nella ricerca biologica. 

Ricerca biologica e privacy

All'interno di una ricerca confluisce una moltitudine di dati personali e sanitari, che vanno trattati nel rispetto della normativa sulla privacy e delle Linee Guida fornite dal Garante, onde evitare pesanti sanzioni.

Il biologo deve avere ben chiare le regole da rispettare nel trattamento dei dati dei soggetti coinvolti nella ricerca, in modo da assicurare che ogni singolo step rispecchi gli standard etici e normativi più elevati, costruendo così una base di conoscenze scientifiche robusta e affidabile per il bene della società.

La Convenzione di Oviedo, nel dettare i principi generali per la protezione dei diritti dell'uomo e della dignità dell'essere umano nei confronti delle applicazioni della biologia e della medicina, prevede che una ricerca può essere intrapresa su una persona solo se:

  • non esiste un metodo alternativo alla ricerca sugli esseri umani, di efficacia paragonabile,
  • i rischi che può correre la persona non sono sproporzionati in rapporto con i benefici potenziali della ricerca,
  • il progetto di ricerca è stato approvato da un'istanza competente, previo esame sul piano della pertinenza scientifica,
  • la persona che si presta ad una ricerca è informata dei suoi diritti e delle garanzie previste dalla legge per la sua tutela,
  • il consenso è stato donato espressamente, in maniera specifica e per iscritto, e può essere liberamente ritirato in qualunque momento.

Se la persona non ha la capacità di consentire ad una ricerca, devono essere soddisfatte tutte le suddette condizioni – tranne, ovviamente, quella sul consenso – ed inoltre:

  • i risultati attesi dalla ricerca devono comportare un beneficio reale e diretto per la salute di quella persona,
  • la ricerca non può effettuarsi con un'efficacia paragonabile su soggetti capaci di consentirvi,
  • l'autorizzazione è stata del suo rappresentante/tutore/autorità o organo designato dalla legge è stata data per iscritto,
  • la persona non vi oppone rifiuto.

Il biologo, nell'effettuare la sua attività di ricerca, deve avere ben chiari i principi generali etici dettati dalla Convenzione di Oviedo, per poi applicarli al trattamento dei dati personali in materia di ricerca biologica, nella consapevolezza che purtroppo la normativa in materia è molto frammentaria.

Il GDPR e la ricerca medica

Si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile; questa persona, in gergo tecnico, si definisce “interessato”. Il trattamento dei dati personali deve avvenire nel rispetto dei principi generali sanciti dal GDPR:

  • Liceità, correttezza e trasparenza - i dati devono essere trattati in modo legale, corretto e trasparente nei confronti del cliente;
  • limitazione della finalità - i dati devono essere raccolti solo per scopi specifici, legittimi e successivamente trattati in modo coerente con tali scopi;
  • minimizzazione dei dati - i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto agli scopi del trattamento;
  • esattezza - dati devono essere accurati e aggiornati o modificati quando necessario, al verificarsi un loro cambiamento;
  • limitazione della conservazione - i dati devono essere conservati solo per un periodo limitato, non oltre quanto necessario per gli scopi del trattamento;
  • integrità e riservatezza - deve essere garantita la sicurezza dei dati con misure tecniche e organizzative adeguate a prevenire accessi non autorizzati o perdite;
  • responsabilizzazione - il titolare del trattamento deve essere in grado di dimostrare la conformità ai suddetti principi.

All’interno dei dati personali rientrano alcune specifiche categorie di dati, per i quali è richiesto un trattamento particolare: dati sensibili quali quelli razziali o etnici, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici e biometrici, i dati relativi alla salute e quelli sulla vita sessuale o sull'orientamento sessuale. In un contesto sanitario, è di fondamentale importanza comprendere che per queste categorie speciali di dati è applicato un trattamento distintivo.

I dati genetici si riferiscono alle caratteristiche genetiche di una persona, ottenute da analisi di campioni biologici; i dati biometrici sono quelli ottenuti da caratteristiche fisiche, fisiologiche o comportamentali che consentono l'identificazione univoca, come l'immagine del volto o l'impronta digitale; i dati sulla salute riguardano la salute fisica o mentale di una persona, inclusi i servizi di assistenza sanitaria e le informazioni sullo stato di salute.

Il trattamento di questi dati "particolari", in linea generale, è vietato, salvo - per i dati attinenti la salute – due eccezioni: 

  • il consenso esplicito del paziente, da acquisire sempre per iscritto e previa illustrazione delle modalità di trattamento dei dati personali e dei diritti dell’interessato,
  • i motivi di interesse pubblico rilevante

Il consenso del paziente su cui viene condotta la ricerca

Quando viene condotta una ricerca scientifica in campo medico, biomedico o epidemiologico, il consenso dell’interessato per il trattamento dei dati relativi alla salute non è necessario se:

1.la ricerca è effettuata in base a disposizioni di legge o di regolamento,

2. la ricerca è effettuata in virtù dell’art. 9 del GPDR, per cui, alternativamente,

  • l’interessato ha prestato il proprio consenso esplicito per tale finalità
  • il trattamento è necessario per assolvere obblighi/esercitare diritti specifici in materia di diritto del lavoro, della sicurezza sociale, della protezione sociale, 
  • il trattamento dei dati è effettuato per tutelare un interesse vitale dell’interessato o di altra persona fisica, 
  • il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altra ONLUS che persegua finalità politiche, filosofiche, religiose, sindacali,
  • il trattamento riguarda dati resi manifestamente pubblici dall’interessato,
  • il trattamento è necessario per esercitare/accertare/difendere un diritto in giudizio,
  • il trattamento è necessario per motivi di interesse pubblico,
  • il trattamento è necessario per finalità di medicina preventiva o medicina del lavoro,
  • il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica (ad esempio per gravi minacce per la salute a carattere transfrontaliero, come il caso di una pandemia),
  • il trattamento è necessario ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici;

3. nel caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria ed è stata condotta e resa pubblica la preventiva valutazione di impatto sulla protezione dei dati personali;

4. nell’ipotesi in cui, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.

La base giuridica per la ricerca biologica

Il trattamento dei dati personali deve essere fondato su una base giuridica, cioè su una determinata finalità disciplinata dalla legge. Per la ricerca, in generale, la base giuridica è rinvenibile nell’art. 9 lettera j) del GDPR, che consente il trattamento dei dati personali, previo consenso scritto degli interessati, proprio per finalità di ricerca scientifica.

Nella particolare ipotesi di sperimentazione clinica, in particolare, lo European Data Protection Board (EDPB) ha reso il parere n. 3/2019, con cui ha consigliato a chi effettua attività di ricerca di prevedere come base giuridica per i trattamenti correlati all’affidabilità e alla sicurezza:

  • l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (art. 6 paragrafo 1 lettera c GDPR),
  • i motivi di interesse pubblico nel settore della sanità pubblica, come la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici (art. 9 paragrafo 2 lettera i GDPR).

Con il medesimo parere lo EDPB ha consigliato a chi si occupa di ricerca di indicare, come base giuridica per trattamenti correlati esclusivamente ad attività di ricerca, tre basi alternative, da scegliere in funzione delle circostanze complessive di una specifica sperimentazione clinica:

  1. esecuzione di un compito di interesse pubblico (articolo 6 paragrafo 1 lettera e, in combinazione con articolo 9 paragrafo 2 lettera i) o j) GDPR),
  2. legittimo interesse del titolare del trattamento (articolo 6 paragrafo 1 lettera f, in combinazione con l’articolo 9 paragrafo 2 lettera j GDPR),
  3. in circostanze specifiche e purché siano soddisfatte tutte le condizioni applicabili, consenso esplicito dell’interessato (articolo 6 paragrafo 1 lettera a, in combinazione con articolo 9 paragrafo 2 lettera a GDPR).

Le linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali

La sperimentazione clinica di medicinali, sotto il profilo della tutela dei dati personali, è considerata dal Garante un'attività molto complessa e delicata, poiché coinvolge gli essere umani: per questo motivo, il Garante ha ritenuto opportuno redigere delle vere e proprie Linee Guida dedicate a chi si occupa di sperimentazione clinica e ai dati che vi ruotano attorno, consigliando una serie di cautele da adottare per proteggere i dati sanitari dei soggetti che decidono di partecipare a questo tipo di ricerca, tenendo conto dei principi etici che governano la ricerca clinica; i soggetti coinvolti in questo processo, per quel che concerne la tutela dei dati personali dei pazienti che si sottopongono alla sperimentazione, sono due:

  1. il promotore della sperimentazione clinica,
  2. i centri di sperimentazione.

Il promotore della sperimentazione, a differenza dei singoli centri, non effettua alcuna raccolta diretta dei dati, né entra mai in contratto con i pazienti coinvolti nella sperimentazione clinica; tuttavia, acquisisce i dati raccolti dai centri di ricerca (ad esempio quelli contenuti nelle schede di segnalazione delle reazioni/avventi avversi) e li inserisce all'interno di database. I centri di ricerca, invece, sono autonomi rispetto al committente, eseguono la sperimentazione con la propria autonomia organizzativa e forniscono ai pazienti la loro specifica informativa privacy, acquisendo il consenso per il trattamento dei dati. Questi due soggetti, in base alle attività rispettivamente effettuate – da adattarsi al singolo caso concreto – possono essere qualificati come contitolari del trattamento dei dati personali dei pazienti coinvolti nel trial clinico.

Solitamente un privato (ad esempio un'azienda farmaceutica) commissiona studi clinici per la sperimentazione di medicinali ad appositi centri di ricerca e/o laboratori.

Quando si conduce un'attività di ricerca per la sperimentazione clinica di medicinali, l'identità dei soggetti coinvolti nella sperimentazione deve essere anonimizzata tramite assegnazione di un codice di identificazione a ciascun interessato, da utilizzare al posto del suo nome in ogni comunicazione dei dati collegati allo studio clinico al soggetto che promuove la ricerca. Alcuni trial prevedono l'annotazione delle iniziali di nome e cognome del paziente per la registrazione sulle schede raccolta dati e sulle segnalazioni di reazioni e eventi avversi: in questa particolare ipotesi, il protocollo di ricerca dovrà espressamente prevedere che i medici raccolgano, oltre ai dati medico/clinici riferiti agli interessati, anche dati ulteriore quelli demografici (data di nascita, sesso, origine etnica, peso, statura) o relativi agli stili di vita, alla vita sessuale, alla storia medica dei pazienti. Queste informazioni dovranno essere conservate dai centri di ricerca per un periodo di tempo ben determinato, pari solitamente all'intera durata dell'autorizzazione all'impiego del medicinale.

La conservazione dei dati raccolti per finalità di ricerca dovrà avvenire in maniera sicura, mediante:

  1. adozione di idonei accorgimenti per garantire che i dati siano protetti da rischi di accesso abusivo, di furto o smarrimento dei sistemi di memorizzazione/archiviazione e di quanto ivi contenuto,
  2. sviluppo di protocolli di comunicazione sicuri, basati su standard di crittografia per la trasmissione elettronica dei dati raccolti dal centro di ricerca al promotore della ricerca,
  3. predisposizione di accesso al database di conservazione dei dati di ricerca tramite sistemi di autenticazione e autorizzazione riservati esclusivamente agli incaricati, con cambio password periodico e sistemi di controllo degli accessi al database e di rilevamento di eventuali anomalie.

I centri che si occupano della ricerca e della sperimentazione devono fornire, con l'informativa ai pazienti, delle informazioni specifiche circa:

  1. la natura dei dati trattati dal promotore della ricerca e la circostanza che tali dati vengano trasmessi all'estero (ad esempio se chi commissiona la ricerca è una società farmaceutica straniera),
  2. il ruolo effettivamente svolto dal promotore della ricerca riguardo al trattamento dei dati personali e sanitari e alle finalità e modalità di trattamento,
  3. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che, nella qualità di incaricati o responsabili, possono venire a conoscenza dei dati,
  4. la possibilità per i pazienti di esercitare il diritto di accesso e tutti gli altri diritti (ad esempio cancellazione, rettifica, integrazione) previsti dal GDPR nei confronti del promotore della ricerca e degli altri soggetti eventualmente destinatari dei dati.

Nel caso in cui la ricerca preveda il trattamento di informazioni genetiche, devono inoltre essere fornite indicazioni chiare sui profili specifici di utilizzo di dati genetici e campioni biologici.

Per quanto concerne il consenso, le Linee Guida suggeriscono una dicitura specifica da inserire nel modulo, con la quale il paziente acconsente al trattamento dei suoi dati personali per gli scopi della ricerca, nei limiti e con le modalità indicate nell'informativa privacy, che dovrà essere allegata al modulo e consegnata al paziente.

Lo svolgimento di un'attività di ricerca, come abbiamo potuto vedere, è estremamente complesso non solo dal punto di vista clinico, ma anche etico e normativo: conoscere le regole del gioco aiuterà i ricercatori a lavorare meglio, nell'interesse del futuro della medicina.

Di: Manuela Calautti, avvocato

Argomenti correlati