Nel settore medico, la ricerca è una delle attività più importanti, poiché consente di effettuare nuove scoperte scientifiche.
Quando si decide di svolgere una ricerca medica su un campione di pazienti, solitamente si raccolgono una serie di dati sugli stessi, che vanno dal semplice nome, cognome, età, sino a dati più delicati come le patologie, o addirittura – in alcuni tipi di ricerca – l’orientamento sessuale o la razza.
Si definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata ovvero identificabile tramite il ricorso – appunto – a un identificativo come il nome, un numero, i dati relativi all’ubicazione, un identificativo online o uno o più elementi che caratterizzino la sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Le informazioni vengono invece definite “anonime” quando non riguardano una persona fisica identificata o identificabile oppure quando hanno ad oggetto dei dati personali che sono stati resi sufficientemente anonimi, al punto tale da impedire o comunque non consentire più di risalire al soggetto interessato.
Quando ci si muove nell’ambito della ricerca e della privacy, sono tante le normative e le procedure da conoscere e rispettare: per questo, oltre a una completa informazione sul tema, può sempre essere utile il supporto e il consulto di un esperto in materia. Per ogni o necessità, rivolgiti a Consulcesi.
Quando si effettua ricerca scientifica, pertanto, bisogna informare il soggetto che fornisce i suoi dati della finalità per cui vengono trattati. In molti casi, però, non è possibile, al momento della raccolta dei dati, individuare subito tutte le finalità relative alla ricerca scientifica: pensiamo, ad esempio, a una ricerca che si svolga in più fasi, che per ogni fase richiede, in sostanza, un determinato consenso da parte del paziente per l’uso dei suoi dati. Proprio per questo motivo, la normativa privacy in tema di ricerca scientifica suggerisce ai titolari della ricerca di acquisire il consenso da parte degli interessati ripartito per settori o parti dei progetti di ricerca, nel rispetto delle regole deontologiche. Le regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica stabiliscono che, nel manifestare il proprio consenso a un’indagine medica o epidemiologica, l’interessato deve dichiarare se vuole conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca (cosiddetti incidental findings) e devono essere inoltre specificate le modalità di comunicazione di tali nuove inattese scoperte, per assicurare il rispetto della dignità e la tutela dell’autodeterminazione informativa dei pazienti, anche in relazione al diritto a non sapere. Quando, tuttavia, a causa di particolari ragioni, informare gli interessati risulti impossibile o implichi uno sforzo sproporzionato (pensiamo a pazienti deceduti o difficilmente rintracciabili), oppure rischia di rendere impossibile o pregiudicare gravemente la ricerca, il consenso al trattamento dei dati personali da parte degli interessati non è necessario. In questo caso, il programma di ricerca deve essere oggetto di un parere favorevole motivato da parte del competente comitato etico a livello territoriale e deve inoltre essere sottoposto a una preventiva consultazione da parte del Garante Privacy ai sensi dell’art. 36 G.D.P.R.
Ricerca medica privacy: la normativa applicabile
Per quanto concerne la ricerca scientifica, le norme da rispettare sono contenute nel GDPR, nel Codice per la protezione dei dati personali, nelle Prescrizioni relative al trattamento dei dati genetici (se la ricerca li riguarda), nelle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, ed infine nelle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.Il trattamento dei dati personali deve avvenire per una finalità determinata, legittima e che deve essere resa nota al soggetto che sta fornendo quei dati.
Quando si effettua ricerca scientifica, pertanto, bisogna informare il soggetto che fornisce i suoi dati della finalità per cui vengono trattati. In molti casi, però, non è possibile, al momento della raccolta dei dati, individuare subito tutte le finalità relative alla ricerca scientifica: pensiamo, ad esempio, a una ricerca che si svolga in più fasi, che per ogni fase richiede, in sostanza, un determinato consenso da parte del paziente per l’uso dei suoi dati. Proprio per questo motivo, la normativa privacy in tema di ricerca scientifica suggerisce ai titolari della ricerca di acquisire il consenso da parte degli interessati ripartito per settori o parti dei progetti di ricerca, nel rispetto delle regole deontologiche. Le regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica stabiliscono che, nel manifestare il proprio consenso a un’indagine medica o epidemiologica, l’interessato deve dichiarare se vuole conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca (cosiddetti incidental findings) e devono essere inoltre specificate le modalità di comunicazione di tali nuove inattese scoperte, per assicurare il rispetto della dignità e la tutela dell’autodeterminazione informativa dei pazienti, anche in relazione al diritto a non sapere. Quando, tuttavia, a causa di particolari ragioni, informare gli interessati risulti impossibile o implichi uno sforzo sproporzionato (pensiamo a pazienti deceduti o difficilmente rintracciabili), oppure rischia di rendere impossibile o pregiudicare gravemente la ricerca, il consenso al trattamento dei dati personali da parte degli interessati non è necessario. In questo caso, il programma di ricerca deve essere oggetto di un parere favorevole motivato da parte del competente comitato etico a livello territoriale e deve inoltre essere sottoposto a una preventiva consultazione da parte del Garante Privacy ai sensi dell’art. 36 G.D.P.R.
La ricerca medica dell’Azienda Ospedaliera Universitaria Integrata di Verona
Premessa la normativa applicabile, possiamo analizzare il recente caso di Verona. L’Azienda Ospedaliera Universitaria di Verona ha intrapreso uno studio osservazionale interdipartimentale, prospettico, retrospettivo, non farmacologico, chiamato “DB Torax”, per creare una banca dati tramite la raccolta di dati strutturata che consenta di esaminare la popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico. I dati necessari per la ricerca sono molteplici:- Dati anagrafici
- Dati identificativi (codice paziente)
- Condizioni di base dei pazienti
- Diagnosi e trattamento medico
- Quadro laboratoristico e di imaging
- Esiti dei trattamenti a distanza in termini di risultati clinici, complicazioni
- Percentuale di guarigione durante la degenza
- Tassi di ricaduta in base alle diverse modalità di terapia e di follow-up
Il parere del Garante Privacy
Il Garante Privacy, nel condurre l’istruttoria sul parere da rilasciare all’Azienda Ospedaliera veronese sullo studio “DB Torax”, ha rilevato alcune criticità da correggere, relative al tempo di conservazione dei dati e alla modalità di acquisizione dei consensi per le singole attività di ricerca. Per quanto riguarda la conservazione dei dati, il Garante ritiene eccessivo il tempo di conservazione dei dati personali per 25 anni, poiché la legge prevede tale tempistica solo per le sperimentazioni farmacologiche: la ricerca veronese, invece, non ha ad oggetto farmaci. Sotto il profilo delle modalità di acquisizione dei consensi, il Garante evidenzia che dopo la prima fase di acquisizione dei dati dei singoli pazienti, la ricerca prevede nove diversi specifici ambiti di indagine che saranno – per stessa dichiarazione dell’Azienda ospedaliera – sottoposti ad altrettante analisi da parte dei comitati etici territorialmente competenti, poiché trattandosi degli stessi pazienti oggetto di questo parere, la difficoltà nel rintracciarli tutti continuerà a sussistere, ovvero potrebbe addirittura acuirsi. Ci troviamo perciò di fronte a un consenso da acquisire a fasi progressive:- un primo consenso per la raccolta e la conservazione dei dati all’interno del “DB Torax”
- un secondo consenso, successivo al primo, per i singoli nove abiti di ricerca specificati dall’Azienda sanitaria veronese
- venga eliminata dal protocollo la parte relativa alla conservazione dei dati personali per 25 anni
- l’Azienda si impegni ad acquisire i consensi ulteriori e specifici (a fasi progressive) in relazione a ciascuno dei nove studi futuri previsti dal protocollo, oppure avvii altrettante procedure di richiesta del parere al Comitato Etico territorialmente competente e al Garante Privacy, nel caso di pazienti deceduti o difficilmente reperibili.