STUDIO LEGALE
BRAGUTI RACCAGNI Law Offices
Avv. Roberto Braguti
Linee guida per il trattamento di dati personali
nell’ambito delle sperimentazioni cliniche di medicinali
Estratto relazione presso S.S.F.A., 16 dicembre 2008
La presente relazione è soggetta alle norme sul copyright e sul diritto d’autore.
E’ consentito l’utilizzo solo previa autorizzazione espressa dell’autore.
NATURA GIURIDICA DELLA PRIVACY
Il diritto alla riservatezza è stato annoverato dalla Corte
Costituzionale tra i diritti inviolabili dell’uomo di cui all’art. 2
Cost., fattispecie aperta a nuove affermazioni legislative non
contemplate inizialmente dalla Carta costituzionale.
Con una limpida sentenza della Corte Costituzionale si è
affermato il principio in virtù del quale la normativa generale sulla
protezione dei dati è oggetto di esclusiva potestà legislativa dello
Stato anche dopo la riforma del Titolo V Cost.
I PRINCIPI
• Chiunque ha diritto alla protezione dei dati personali che
lo riguardano
• Liceità e correttezza
• Scopi determinati, espliciti e legittimi
• Dati esatti e se necessario aggiornati
• Pertinenza
• Completezza e non eccedenza
• Limiti alla conservazione
• Necessità
• Casi di esoneri dal consenso
• Profilazione
ALCUNE DEFINIZIONI
-
"trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
-
"dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
-
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
-
"titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza;
-
"responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati personali;
-
"incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
-
"interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
-
"comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del
titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o
consultazione;
-
"dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
AMBITO DI APPLICAZIONE
TERRITORIALE DEL CODICE PRIVACY
Il presente codice disciplina il trattamento di dati personali, anche detenuti
all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un
luogo comunque soggetto alla sovranità dello Stato.
Il presente codice si applica anche al trattamento di dati personali effettuato
da chiunque è stabilito nel territorio di un Paese non appartenente
all’Unione europea e impiega, per il trattamento, strumenti situati nel
territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano
utilizzati solo al fine di transito nel territorio dell’Unione europea. In caso di
applicazione del presente codice, il titolare del trattamento designa un
proprio rappresentante stabilito nel territorio dello Stato ai fini
dell’applicazione della disciplina sul trattamento dei dati personali.
I SOGGETTI
•
•
•
•
•
Titolare
Responsabile
Incaricato
Interessato
Rappresentante del Titolare in Italia
ISTRUZIONI AL
RESPONSABILE - INCARICATO
I soggetti designati
(responsabile - incaricato)
devono ricevere istruzioni precise e
dettagliate sul trattamento da effettuare
LA GIURISPRUDENZA
DEL GARANTE ITALIANO
Rapporto tra azienda farmaceutica e azienda ospedaliera
Bisogna chiarire se l’azienda farmaceutica:
a) svolga unicamente un ruolo di collaboratore esterno di un trattamento di dati
personali le cui scelte di fondo (e responsabilità) competono solo all’azienda
ospedaliera. In tal caso quest’ultima rappresenta l’esclusivo titolare del
trattamento, che ha la facoltà di designare l’azienda sponsor quale
responsabile del trattamento permettendole quindi di accedere ai dati in
funzione, però, unicamente strumentale alla sperimentazione, nei limiti e
secondo le finalità individuate analiticamente dall’azienda ospedaliera, per
iscritto e con successive istruzioni … omissis … . In questo caso, non si
realizza, ai sensi della legge n. 675/96, una comunicazione di dati a terzi e
l’accesso ai dati da parte dell’azienda Sponsor è interno ad un trattamento
che si sviluppa, sul piano giuridico, nell’ambito della sfera di responsabilità
della sola struttura ospedaliera.
SEGUE…
b) intenda, invece, accedere alla documentazione sanitaria degli interessati ed
utilizzarla per scopi inerenti alla ricerca prevista, individuando però le finalità
e le modalità del trattamento in condizioni di autonomia rispetto alla
struttura ospedaliera, quale autonomo titolare o contitolare del trattamento,
avente responsabilità distinte rispetto a quest’ultima. In questo diverso
caso, si realizza, infatti, una vera e propria comunicazione di dati a terzi,
che vanno nominativamente e distintamente indicati nel modello del
consenso, anche per ciò che riguarda il luogo ove esercitare i diritti di cui
all’art. 13 della legge.
LINEE GUIDA
GAZZ. UFF. n. 190 DEL 14.8.2008
Il Garante per la protezione dei dati
personali, dopo il provvedimento del 2007
e la consultazione pubblica, ha adottato in
via definitiva le Linee guida per i
trattamenti di dati personali nell’ambito
delle sperimentazioni cliniche di
medicinali.
PREMESSA
Le Linee guida individuano gli accorgimenti e le
misure necessari e opportuni per il trattamento dei
dati personali dei partecipanti a sperimentazioni
cliniche da parte dei promotori degli studi.
Gli accorgimenti e le misure indicati vanno, altresì,
presi in considerazione da tutti gli altri titolari di
trattamenti di dati personali effettuati a fini di
sperimentazione clinica, quali promotori diversi dalle
società farmaceutiche, organizzazioni di ricerca a
contratto e centri di sperimentazione.
SEGUE…
Le Linee guida, di fatto, non contengono
innovazioni rispetto all’impianto normativo
nazionale e internazionale.
Tale aspetto, applicando una logica
prettamente giuridica, si riflette sul tema
della loro entrata in vigore.
NATURA DEI DATI
Sebbene sia previsto che soltanto ciascun centro abbia la
disponibilità della lista che consente di associare il nominativo della
persona al relativo codice identificativo e che il promotore non
debba venire a conoscenza della sua identità, quest'ultimo, tramite
propri collaboratori addetti al monitoraggio, nell'ambito delle visite
effettuate presso il centro di sperimentazione volte a controllare che
lo studio è effettuato in osservanza del protocollo, ha tuttavia
accesso sotto il controllo dei medici alla documentazione sanitaria
originale delle persone coinvolte nello studio (per verificare
l'accuratezza e la completezza dei dati), nonché alla lista
contenente i dati nominativi degli interessati (per controllare le
procedure riguardanti l'acquisizione del consenso informato).
SEGUE…
Le modalità di codifica previste dai promotori
rappresentano una specifica cautela adottata in
applicazione delle disposizioni normative vigenti
a tutela della riservatezza dei pazienti che, però,
non è di per sé tale da rendere anonimi i dati.
Pertanto, le informazioni collegate al codice
identificativo di ciascun paziente sono da
ritenere dati personali idonei a rivelare lo stato di
salute e, in qualche caso, la vita sessuale del
singolo interessato.
I RUOLI DEGLI ATTORI DEL
PROCESSO DI SPERIMENTAZIONE
Il promotore, prima dell'avvio della sperimentazione:
-
identifica i possibili centri partecipanti verificandone l'idoneità e il
relativo interesse;
predispone il protocollo da osservare nel corso dello studio;
quindi, impartisce ai centri le necessarie direttive sul trattamento dei
dati, ivi compresi i profili relativi alla loro custodia e sicurezza,
nonché le istruzioni relative alle modalità di utilizzo dei sistemi
informativi eventualmente previsti.
I singoli centri di sperimentazione e i promotori hanno in genere
responsabilità distinte nell'ambito degli studi clinici e si configurano,
quindi, quali autonomi titolari o, a seconda dei casi, contitolari del
trattamento.
SEGUE…
Gli altri soggetti:
- C.R.O.
- LABORATORI (centralizzati o meno)
- CRAs
- ALTRI SOGGETTI
SEGUE…
La relazione fra i promotori, da un lato e, dall'altro, i soggetti esterni
ai quali vengono affidate alcune, o tutte le mansioni riguardanti gli
studi clinici (ivi compresi gli addetti al monitoraggio) vanno utilmente
inquadrate nell'ambito di un rapporto fra "titolare" e "incaricati"
(unicamente persone fisiche) o, eventualmente, in base al grado di
autonomia da osservare nel trattamento dei dati, "responsabili del
trattamento" (persone fisiche o giuridiche).
Tali soggetti devono quindi essere designati, in conformità alle
disposizioni del Codice sugli incaricati e sui responsabili, e ricevere
idonee istruzioni alle quali attenersi nel trattamento dei dati della
sperimentazione.
LA SCELTA DEI SOGGETTI
I promotori devono prestare, comunque, particolare
attenzione nella scelta dei soggetti, responsabili e
incaricati, ai quali affidare alcune o tutte le mansioni
inerenti alle sperimentazioni di farmaci, specie con
riferimento al monitoraggio dello studio, assicurandosi
che essi possiedano requisiti di esperienza, capacità e
affidabilità tali da fornire idonee garanzie del pieno
rispetto delle istruzioni da impartire e delle regole di
riservatezza e confidenzialità previste dalla disciplina in
materia di protezione di dati personali e dalle
disposizioni di settore.
I CRAs
Gli addetti al monitoraggio devono essere
sottoposti a regole di condotta analoghe al
segreto professionale.
Tale assunto non è nuovo, ma trae spunto
dalle fonti internazionali.
GLI SPERIMENTATORI
Deve essere cura dei centri di sperimentazione garantire che il
personale coinvolto nelle sperimentazioni cliniche e, in particolare,
nei colloqui preliminari volti all'acquisizione del consenso informato,
sia formato adeguatamente anche sugli aspetti rilevanti della
disciplina sulla protezione dei dati personali, in modo da essere in
grado di spiegare accuratamente e con completezza agli interessati
gli elementi essenziali riguardanti il trattamento dei dati.
I promotori, nell'individuare i centri presso i quali condurre
sperimentazioni cliniche, devono verificare l'adeguatezza del
personale del centro a gestire tale procedura predisponendo, ove
necessario, appositi interventi formativi.
DIRITTI DEI PAZIENTI
Le persone partecipanti a sperimentazioni cliniche di
medicinali possono esercitare in ogni momento i diritti di
cui all'art. 7 del Codice, tra i quali quello di accedere ai
dati che li riguardano e di ottenerne la comunicazione in
forma intelligibile, ovvero l'integrazione, l'aggiornamento
o la rettifica, rivolgendosi direttamente al centro di
sperimentazione o, per il tramite del medico
sperimentatore (che è a conoscenza della loro identità e,
mediante l'accesso alla lista di identificazione, può
individuare il codice identificativo di ciascun interessato),
al promotore.
GLI ADEMPIMENTI
Prima di ogni adempimento, per evitare di
costruire modelli e strategie inesatti,
occorre un’attenta analisi del flusso dei
dati.
NOTIFICAZIONE DEL TRATTAMENTO
- dati genetici;
- indagini epidemiologiche;
- altri casi.
OBBLIGHI DI COMUNICAZIONE
Il titolare del trattamento è tenuto a comunicare previamente al
Garante le seguenti circostanze:
… omissis …
-
trattamento di dati idonei a rivelare lo stato di salute previsto dal
programma di ricerca biomedica o sanitaria di cui all’articolo 110,
comma 1, primo periodo;
… omissis …
MISURE DI SICUREZZA
La particolare delicatezza dei dati trattati nella sperimentazione
impone l'adozione di specifici accorgimenti tecnici per incrementare
il livello di sicurezza dei dati, senza pregiudizio di ogni altra misura
minima che ciascun titolare del trattamento deve adottare ai sensi
del Codice.
Ciò, con particolare riferimento alle operazioni di registrazione con
strumenti elettronici dei dati delle persone coinvolte nello studio
presso i centri di sperimentazione, al loro trasferimento in via
telematica verso un unico database presso il promotore o gli altri
soggetti che svolgono, per conto di quest'ultimo, la validazione e
l'elaborazione statistica dei dati, nonché alla gestione della
medesima banca dati.
SEGUE…
In relazione a tali operazioni di trattamento, i promotori di sperimentazioni cliniche di medicinali, le organizzazioni
di ricerca a contratto e i centri di sperimentazione, ciascuno per la parte di propria competenza in relazione al
ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità ai fini dell'adozione delle misure di
sicurezza, devono adottare:
-
laddove siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la
protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di
memorizzazione o dei sistemi di elaborazione portatili o fissi;
-
protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione elettronica dei dati
raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che
effettuano la successiva validazione ed elaborazione statistica dei dati;
-
con specifico riferimento al menzionato database:
idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze
di accesso e trattamento;
procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili
di autorizzazione assegnati agli incaricati del trattamento;
sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.
LE CITATE MISURE DI SICUREZZA DEVONO ESSERE INTEGRATE CON MISURE SPECIFICHE IN CASO DI
TRIALS GENETICI O SOTTOSTUDI GENETICI.
I DATI GENETICI
I dati genetici sono a tutti gli effetti dati
personali, di natura altamente
sensibile.
SEGUE…
Adempimenti:
-
informativa specifica;
consenso scritto; in caso di revoca il campione biologico prelevato
deve essere distrutto;
limiti alla comunicazione;
limiti alla conservazione;
tecniche di cifratura, firma digitale, ecc…;
divieto di diffusione;
obbligo di notifica.
LE ISPEZIONI DEL GARANTE
Il numero delle ispezioni, nel corso degli
ultimi anni, è in costante aumento.
Nel 2006 sono state 350.
Nel 2007 diverse aziende ospedaliere e
farmaceutiche sono state ispezionate.
SANZIONI AMMINISTRATIVE
-
Omessa o inidonea informativa all’interessato (sino a €
30.000,00=);
-
Cessione di dati in violazione delle norme vigenti (sino a
€ 30.000,00=);
-
Comunicazione di dati idonei a rivelare lo stato di salute
in violazione di quanto previsto dalle norme vigenti (sino
a € 3.000,00=);
-
Omessa o incompleta notificazione (sino a
€ 60.000,00=);
-
Omessa informazione o esibizione all’Autorità Garante
(sino a € 24.000,00=);
SANZIONI PENALI
-
Trattamento illecito di dati (sino a 18 mesi, 24 mesi, 3 anni di
reclusione a seconda della fattispecie);
-
Falsità nelle dichiarazioni e notificazioni all’Autorità Garante (sino
a 3 anni di reclusione);
-
Omessa adozione delle misure minime di sicurezza (arresto sino
a 2 anni o ammenda sino a € 50.000,00=);
-
Inosservanza dei provvedimenti dell’Autorità Garante (sino a 2
anni di reclusione);
-
Violazione dell’articolo 8 dello Statuto dei Lavoratori;
-
Violazione dell’articolo 4 dello Statuto dei Lavoratori.
RESPONSABILITA’ CIVILE
“Chiunque cagiona danno ad altri
per effetto del trattamento di dati
personali è tenuto al risarcimento
ai sensi dell’articolo 2050 del codice civile.
Il danno non patrimoniale è risarcibile
anche in caso di violazione dell’art. 11”
RESPONSABILITA’ PER L’ESERCIZIO DI
ATTIVITA’ PERICOLOSE
“Chiunque cagiona danno ad altri nello
svolgimento dell’attività pericolosa, per sua
natura o per la natura dei mezzi adoperati, è
tenuto al risarcimento, se non prova di avere
adottato tutte le misure idonee a evitare il
danno”
DANNI NON PATRIMONIALI
“Il danno non patrimoniale
deve essere risarcito solo
nei casi determinati dalla legge”
Tale norma è stata reinterpretata dalla Corte di Cassazione al fine di
superare la portata restrittiva del testo di legge. I danni non patrimoniali
sono pertanto risarcibili ogni volta che siano lesi interessi della persona di
rilievo costituzionale, atteso che la Costituzione ha un indubbio valore di
legge.
GRAZIE PER L’ATTENZIONE
PER QUALUNQUE RICHIESTA DI APPROFONDIMENTO :
TELEFONO
02.36.58.43.55
FAX
02.36.58.43.54
EMAIL
[email protected]