La ricerca medica e la privacy: quando è necessario il consenso a fasi progressive

Nel settore medico, la ricerca è una delle attività più importanti, poiché consente di effettuare nuove scoperte scientifiche.   Quando si decide di svolgere una ricerca medica su un campione di pazienti, solitamente si raccolgono una serie di dati sugli stessi, che vanno dal semplice nome, cognome, età, sino a dati più delicati come le patologie, o addirittura – in alcuni tipi di ricerca – l’orientamento sessuale o la razza.   Si definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata ovvero identificabile tramite il ricorso – appunto – a un identificativo come il nome, un numero, i dati relativi all’ubicazione, un identificativo online o uno o più elementi che caratterizzino la sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.   Le informazioni vengono invece definite “anonime” quando non riguardano una persona fisica identificata o identificabile oppure quando hanno ad oggetto dei dati personali che sono stati resi sufficientemente anonimi, al punto tale da impedire o comunque non consentire più di risalire al soggetto interessato.   Quando ci si muove nell’ambito della ricerca e della privacy, sono tante le normative e le procedure da conoscere e rispettare: per questo, oltre a una completa informazione sul tema, può sempre essere utile il supporto e il consulto di un esperto in materia. Per ogni o necessità, rivolgiti a Consulcesi.    

Ricerca medica privacy: la normativa applicabile

  Per quanto concerne la ricerca scientifica, le norme da rispettare sono contenute nel GDPR, nel Codice per la protezione dei dati personali, nelle Prescrizioni relative al trattamento dei dati genetici (se la ricerca li riguarda), nelle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, ed infine nelle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.  

---

Il trattamento dei dati personali deve avvenire per una finalità determinata, legittima e che deve essere resa nota al soggetto che sta fornendo quei dati.

---

  Quando si effettua ricerca scientifica, pertanto, bisogna informare il soggetto che fornisce i suoi dati della finalità per cui vengono trattati. In molti casi, però, non è possibile, al momento della raccolta dei dati, individuare subito tutte le finalità relative alla ricerca scientifica: pensiamo, ad esempio, a una ricerca che si svolga in più fasi, che per ogni fase richiede, in sostanza, un determinato consenso da parte del paziente per l’uso dei suoi dati.   Proprio per questo motivo, la normativa privacy in tema di ricerca scientifica suggerisce ai titolari della ricerca di acquisire il consenso da parte degli interessati ripartito per settori o parti dei progetti di ricerca, nel rispetto delle regole deontologiche.   Le regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica stabiliscono che, nel manifestare il proprio consenso a un’indagine medica o epidemiologica, l’interessato deve dichiarare se vuole conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca (cosiddetti incidental findings) e devono essere inoltre specificate le modalità di comunicazione di tali nuove inattese scoperte, per assicurare il rispetto della dignità e la tutela dell’autodeterminazione informativa dei pazienti, anche in relazione al diritto a non sapere.   Quando, tuttavia, a causa di particolari ragioni, informare gli interessati risulti impossibile o implichi uno sforzo sproporzionato (pensiamo a pazienti deceduti o difficilmente rintracciabili), oppure rischia di rendere impossibile o pregiudicare gravemente la ricerca, il consenso al trattamento dei dati personali da parte degli interessati non è necessario.   In questo caso, il programma di ricerca deve essere oggetto di un parere favorevole motivato da parte del competente comitato etico a livello territoriale e deve inoltre essere sottoposto a una preventiva consultazione da parte del Garante Privacy ai sensi dell’art. 36 G.D.P.R.  

La ricerca medica dell’Azienda Ospedaliera Universitaria Integrata di Verona

  Premessa la normativa applicabile, possiamo analizzare il recente caso di Verona.   L’Azienda Ospedaliera Universitaria di Verona ha intrapreso uno studio osservazionale interdipartimentale, prospettico, retrospettivo, non farmacologico, chiamato “DB Torax”, per creare una banca dati tramite la raccolta di dati strutturata che consenta di esaminare la popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico.   I dati necessari per la ricerca sono molteplici:

• Dati anagrafici
• Dati identificativi (codice paziente)
• Condizioni di base dei pazienti
• Diagnosi e trattamento medico
• Quadro laboratoristico e di imaging
• Esiti dei trattamenti a distanza in termini di risultati clinici, complicazioni
• Percentuale di guarigione durante la degenza
• Tassi di ricaduta in base alle diverse modalità di terapia e di follow-up

  È poi previsto il trattamento dei dati relativi all’origine razziale e etnica dei singoli pazienti, in base alla valutazione d’impatto.   Lo studio clinico indica in maniera dettagliata le singole finalità del trattamento, in generale volto a creare una banca dati sulla quale costruire analisi e studi futuri volti a migliorare le conoscenze e la pratica clinica nel settore delle patologie del distretto toracico.   In particolare, il protocollo del progetto di ricerca prevede che “piani di analisi statistiche dettagliate saranno impostati nei futuri protocolli di ricerca che useranno la presente banca dati come fonte di dati in modo da raggiungere gli obiettivi degli studi specifici”.   L’Azienda ospedaliera, per procurarsi quella che in gergo tecnico si chiama “base giuridica del trattamento dei dati personali”, prevede nel progetto di ricerca la consegna ai pazienti dell’informativa al trattamento dei propri dati personali, recante in calce la relativa formula per l’acquisizione del consenso.   L’Azienda, sotto il profilo della sicurezza, ha previsto l’utilizzo di una piattaforma creata appositamente per questa ricerca scientifica, sicura, basata sul web, progettata per supportare l’acquisizione e l’archiviazione dei dati per studi di ricerca, mediante creazione di un codice univoco identificativo che venga associato ad ogni soggetto coinvolto nello studio.   La durata complessiva della ricerca sarà di 15 anni, con 10 anni di raccolta retrospettiva, e i dati personali dei pazienti saranno conservati per 20 anni; l’Azienda ospedaliera, inoltre, si impegna a mantenere la documentazione originale cartacea per almeno 25 anni.   L’Azienda ospedaliera, previa acquisizione del parere favorevole del comitato Etico territorialmente competente per la sperimentazione clinica, ha dovuto richiedere il parere ex art. 36 al Garante Privacy perché molti dei pazienti sono deceduti, oppure non più in carico per follow up, anche per scelta del singolo paziente, e quindi non più reperibili per raccoglierne il consenso; non tenere conto di questi pazienti avrebbe inficiato irrimediabilmente la validità della ricerca scientifica.  

Il parere del Garante Privacy

  Il Garante Privacy, nel condurre l’istruttoria sul parere da rilasciare all’Azienda Ospedaliera veronese sullo studio “DB Torax”, ha rilevato alcune criticità da correggere, relative al tempo di conservazione dei dati e alla modalità di acquisizione dei consensi per le singole attività di ricerca.   Per quanto riguarda la conservazione dei dati, il Garante ritiene eccessivo il tempo di conservazione dei dati personali per 25 anni, poiché la legge prevede tale tempistica solo per le sperimentazioni farmacologiche: la ricerca veronese, invece, non ha ad oggetto farmaci.   Sotto il profilo delle modalità di acquisizione dei consensi, il Garante evidenzia che dopo la prima fase di acquisizione dei dati dei singoli pazienti, la ricerca prevede nove diversi specifici ambiti di indagine che saranno – per stessa dichiarazione dell’Azienda ospedaliera – sottoposti ad altrettante analisi da parte dei comitati etici territorialmente competenti, poiché trattandosi degli stessi pazienti oggetto di questo parere, la difficoltà nel rintracciarli tutti continuerà a sussistere, ovvero potrebbe addirittura acuirsi.   Ci troviamo perciò di fronte a un consenso da acquisire a fasi progressive:

• un primo consenso per la raccolta e la conservazione dei dati all’interno del “DB Torax”
• un secondo consenso, successivo al primo, per i singoli nove abiti di ricerca specificati dall’Azienda sanitaria veronese

  Per evitare questo doppio consenso progressivo l’Azienda ospedaliera dovrebbe sin d’ora essere consapevole di quali dati saranno necessari per i singoli nove ambiti di ricerca scientifica, ma – giustamente – non è possibile saperlo in questa fase, poiché questo aspetto si determinerà proprio nel corso della fase di studio.   Il Garante, in applicazione della normativa sin qui descritta, ha perciò emesso parere favorevole al trattamento dei dati personali per finalità di ricerca medica da parte dell’Azienda Ospedaliera Universitaria Integrata di Verona, purché:

• venga eliminata dal protocollo la parte relativa alla conservazione dei dati personali per 25 anni
• l’Azienda si impegni ad acquisire i consensi ulteriori e specifici (a fasi progressive) in relazione a ciascuno dei nove studi futuri previsti dal protocollo, oppure avvii altrettante procedure di richiesta del parere al Comitato Etico territorialmente competente e al Garante Privacy, nel caso di pazienti deceduti o difficilmente reperibili.

 

L’importanza di conoscere la normativa sanitaria e privacy

  La vicenda qui ricostruita dimostra come sia oramai indispensabile, per un medico impegnato nella ricerca scientifica, avere una formazione non solo sanitaria ma anche in materia di normativa sanitaria e privacy, per evitare che attività importanti come quella della ricerca scientifica siano messe a rischio da quella che per molti è solo burocrazia. Per saperne di più ed essere sempre correttamente aggiornato, rivolgiti a Consulcesi.