STUDIO LEGALE BRAGUTI RACCAGNI Law Offices Avv. Roberto Braguti Linee guida per il trattamento di dati personali nell’ambito delle sperimentazioni cliniche di medicinali Estratto relazione presso S.S.F.A., 16 dicembre 2008 La presente relazione è soggetta alle norme sul copyright e sul diritto d’autore. E’ consentito l’utilizzo solo previa autorizzazione espressa dell’autore. NATURA GIURIDICA DELLA PRIVACY Il diritto alla riservatezza è stato annoverato dalla Corte Costituzionale tra i diritti inviolabili dell’uomo di cui all’art. 2 Cost., fattispecie aperta a nuove affermazioni legislative non contemplate inizialmente dalla Carta costituzionale. Con una limpida sentenza della Corte Costituzionale si è affermato il principio in virtù del quale la normativa generale sulla protezione dei dati è oggetto di esclusiva potestà legislativa dello Stato anche dopo la riforma del Titolo V Cost. I PRINCIPI • Chiunque ha diritto alla protezione dei dati personali che lo riguardano • Liceità e correttezza • Scopi determinati, espliciti e legittimi • Dati esatti e se necessario aggiornati • Pertinenza • Completezza e non eccedenza • Limiti alla conservazione • Necessità • Casi di esoneri dal consenso • Profilazione ALCUNE DEFINIZIONI - "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; - "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; - "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; - "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; - "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; - "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; - "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; - "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; - "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. AMBITO DI APPLICAZIONE TERRITORIALE DEL CODICE PRIVACY Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo al fine di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali. I SOGGETTI • • • • • Titolare Responsabile Incaricato Interessato Rappresentante del Titolare in Italia ISTRUZIONI AL RESPONSABILE - INCARICATO I soggetti designati (responsabile - incaricato) devono ricevere istruzioni precise e dettagliate sul trattamento da effettuare LA GIURISPRUDENZA DEL GARANTE ITALIANO Rapporto tra azienda farmaceutica e azienda ospedaliera Bisogna chiarire se l’azienda farmaceutica: a) svolga unicamente un ruolo di collaboratore esterno di un trattamento di dati personali le cui scelte di fondo (e responsabilità) competono solo all’azienda ospedaliera. In tal caso quest’ultima rappresenta l’esclusivo titolare del trattamento, che ha la facoltà di designare l’azienda sponsor quale responsabile del trattamento permettendole quindi di accedere ai dati in funzione, però, unicamente strumentale alla sperimentazione, nei limiti e secondo le finalità individuate analiticamente dall’azienda ospedaliera, per iscritto e con successive istruzioni … omissis … . In questo caso, non si realizza, ai sensi della legge n. 675/96, una comunicazione di dati a terzi e l’accesso ai dati da parte dell’azienda Sponsor è interno ad un trattamento che si sviluppa, sul piano giuridico, nell’ambito della sfera di responsabilità della sola struttura ospedaliera. SEGUE… b) intenda, invece, accedere alla documentazione sanitaria degli interessati ed utilizzarla per scopi inerenti alla ricerca prevista, individuando però le finalità e le modalità del trattamento in condizioni di autonomia rispetto alla struttura ospedaliera, quale autonomo titolare o contitolare del trattamento, avente responsabilità distinte rispetto a quest’ultima. In questo diverso caso, si realizza, infatti, una vera e propria comunicazione di dati a terzi, che vanno nominativamente e distintamente indicati nel modello del consenso, anche per ciò che riguarda il luogo ove esercitare i diritti di cui all’art. 13 della legge. LINEE GUIDA GAZZ. UFF. n. 190 DEL 14.8.2008 Il Garante per la protezione dei dati personali, dopo il provvedimento del 2007 e la consultazione pubblica, ha adottato in via definitiva le Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali. PREMESSA Le Linee guida individuano gli accorgimenti e le misure necessari e opportuni per il trattamento dei dati personali dei partecipanti a sperimentazioni cliniche da parte dei promotori degli studi. Gli accorgimenti e le misure indicati vanno, altresì, presi in considerazione da tutti gli altri titolari di trattamenti di dati personali effettuati a fini di sperimentazione clinica, quali promotori diversi dalle società farmaceutiche, organizzazioni di ricerca a contratto e centri di sperimentazione. SEGUE… Le Linee guida, di fatto, non contengono innovazioni rispetto all’impianto normativo nazionale e internazionale. Tale aspetto, applicando una logica prettamente giuridica, si riflette sul tema della loro entrata in vigore. NATURA DEI DATI Sebbene sia previsto che soltanto ciascun centro abbia la disponibilità della lista che consente di associare il nominativo della persona al relativo codice identificativo e che il promotore non debba venire a conoscenza della sua identità, quest'ultimo, tramite propri collaboratori addetti al monitoraggio, nell'ambito delle visite effettuate presso il centro di sperimentazione volte a controllare che lo studio è effettuato in osservanza del protocollo, ha tuttavia accesso sotto il controllo dei medici alla documentazione sanitaria originale delle persone coinvolte nello studio (per verificare l'accuratezza e la completezza dei dati), nonché alla lista contenente i dati nominativi degli interessati (per controllare le procedure riguardanti l'acquisizione del consenso informato). SEGUE… Le modalità di codifica previste dai promotori rappresentano una specifica cautela adottata in applicazione delle disposizioni normative vigenti a tutela della riservatezza dei pazienti che, però, non è di per sé tale da rendere anonimi i dati. Pertanto, le informazioni collegate al codice identificativo di ciascun paziente sono da ritenere dati personali idonei a rivelare lo stato di salute e, in qualche caso, la vita sessuale del singolo interessato. I RUOLI DEGLI ATTORI DEL PROCESSO DI SPERIMENTAZIONE Il promotore, prima dell'avvio della sperimentazione: - identifica i possibili centri partecipanti verificandone l'idoneità e il relativo interesse; predispone il protocollo da osservare nel corso dello studio; quindi, impartisce ai centri le necessarie direttive sul trattamento dei dati, ivi compresi i profili relativi alla loro custodia e sicurezza, nonché le istruzioni relative alle modalità di utilizzo dei sistemi informativi eventualmente previsti. I singoli centri di sperimentazione e i promotori hanno in genere responsabilità distinte nell'ambito degli studi clinici e si configurano, quindi, quali autonomi titolari o, a seconda dei casi, contitolari del trattamento. SEGUE… Gli altri soggetti: - C.R.O. - LABORATORI (centralizzati o meno) - CRAs - ALTRI SOGGETTI SEGUE… La relazione fra i promotori, da un lato e, dall'altro, i soggetti esterni ai quali vengono affidate alcune, o tutte le mansioni riguardanti gli studi clinici (ivi compresi gli addetti al monitoraggio) vanno utilmente inquadrate nell'ambito di un rapporto fra "titolare" e "incaricati" (unicamente persone fisiche) o, eventualmente, in base al grado di autonomia da osservare nel trattamento dei dati, "responsabili del trattamento" (persone fisiche o giuridiche). Tali soggetti devono quindi essere designati, in conformità alle disposizioni del Codice sugli incaricati e sui responsabili, e ricevere idonee istruzioni alle quali attenersi nel trattamento dei dati della sperimentazione. LA SCELTA DEI SOGGETTI I promotori devono prestare, comunque, particolare attenzione nella scelta dei soggetti, responsabili e incaricati, ai quali affidare alcune o tutte le mansioni inerenti alle sperimentazioni di farmaci, specie con riferimento al monitoraggio dello studio, assicurandosi che essi possiedano requisiti di esperienza, capacità e affidabilità tali da fornire idonee garanzie del pieno rispetto delle istruzioni da impartire e delle regole di riservatezza e confidenzialità previste dalla disciplina in materia di protezione di dati personali e dalle disposizioni di settore. I CRAs Gli addetti al monitoraggio devono essere sottoposti a regole di condotta analoghe al segreto professionale. Tale assunto non è nuovo, ma trae spunto dalle fonti internazionali. GLI SPERIMENTATORI Deve essere cura dei centri di sperimentazione garantire che il personale coinvolto nelle sperimentazioni cliniche e, in particolare, nei colloqui preliminari volti all'acquisizione del consenso informato, sia formato adeguatamente anche sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, in modo da essere in grado di spiegare accuratamente e con completezza agli interessati gli elementi essenziali riguardanti il trattamento dei dati. I promotori, nell'individuare i centri presso i quali condurre sperimentazioni cliniche, devono verificare l'adeguatezza del personale del centro a gestire tale procedura predisponendo, ove necessario, appositi interventi formativi. DIRITTI DEI PAZIENTI Le persone partecipanti a sperimentazioni cliniche di medicinali possono esercitare in ogni momento i diritti di cui all'art. 7 del Codice, tra i quali quello di accedere ai dati che li riguardano e di ottenerne la comunicazione in forma intelligibile, ovvero l'integrazione, l'aggiornamento o la rettifica, rivolgendosi direttamente al centro di sperimentazione o, per il tramite del medico sperimentatore (che è a conoscenza della loro identità e, mediante l'accesso alla lista di identificazione, può individuare il codice identificativo di ciascun interessato), al promotore. GLI ADEMPIMENTI Prima di ogni adempimento, per evitare di costruire modelli e strategie inesatti, occorre un’attenta analisi del flusso dei dati. NOTIFICAZIONE DEL TRATTAMENTO - dati genetici; - indagini epidemiologiche; - altri casi. OBBLIGHI DI COMUNICAZIONE Il titolare del trattamento è tenuto a comunicare previamente al Garante le seguenti circostanze: … omissis … - trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all’articolo 110, comma 1, primo periodo; … omissis … MISURE DI SICUREZZA La particolare delicatezza dei dati trattati nella sperimentazione impone l'adozione di specifici accorgimenti tecnici per incrementare il livello di sicurezza dei dati, senza pregiudizio di ogni altra misura minima che ciascun titolare del trattamento deve adottare ai sensi del Codice. Ciò, con particolare riferimento alle operazioni di registrazione con strumenti elettronici dei dati delle persone coinvolte nello studio presso i centri di sperimentazione, al loro trasferimento in via telematica verso un unico database presso il promotore o gli altri soggetti che svolgono, per conto di quest'ultimo, la validazione e l'elaborazione statistica dei dati, nonché alla gestione della medesima banca dati. SEGUE… In relazione a tali operazioni di trattamento, i promotori di sperimentazioni cliniche di medicinali, le organizzazioni di ricerca a contratto e i centri di sperimentazione, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità ai fini dell'adozione delle misure di sicurezza, devono adottare: - laddove siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi; - protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati; - con specifico riferimento al menzionato database: idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento; procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati del trattamento; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie. LE CITATE MISURE DI SICUREZZA DEVONO ESSERE INTEGRATE CON MISURE SPECIFICHE IN CASO DI TRIALS GENETICI O SOTTOSTUDI GENETICI. I DATI GENETICI I dati genetici sono a tutti gli effetti dati personali, di natura altamente sensibile. SEGUE… Adempimenti: - informativa specifica; consenso scritto; in caso di revoca il campione biologico prelevato deve essere distrutto; limiti alla comunicazione; limiti alla conservazione; tecniche di cifratura, firma digitale, ecc…; divieto di diffusione; obbligo di notifica. LE ISPEZIONI DEL GARANTE Il numero delle ispezioni, nel corso degli ultimi anni, è in costante aumento. Nel 2006 sono state 350. Nel 2007 diverse aziende ospedaliere e farmaceutiche sono state ispezionate. SANZIONI AMMINISTRATIVE - Omessa o inidonea informativa all’interessato (sino a € 30.000,00=); - Cessione di dati in violazione delle norme vigenti (sino a € 30.000,00=); - Comunicazione di dati idonei a rivelare lo stato di salute in violazione di quanto previsto dalle norme vigenti (sino a € 3.000,00=); - Omessa o incompleta notificazione (sino a € 60.000,00=); - Omessa informazione o esibizione all’Autorità Garante (sino a € 24.000,00=); SANZIONI PENALI - Trattamento illecito di dati (sino a 18 mesi, 24 mesi, 3 anni di reclusione a seconda della fattispecie); - Falsità nelle dichiarazioni e notificazioni all’Autorità Garante (sino a 3 anni di reclusione); - Omessa adozione delle misure minime di sicurezza (arresto sino a 2 anni o ammenda sino a € 50.000,00=); - Inosservanza dei provvedimenti dell’Autorità Garante (sino a 2 anni di reclusione); - Violazione dell’articolo 8 dello Statuto dei Lavoratori; - Violazione dell’articolo 4 dello Statuto dei Lavoratori. RESPONSABILITA’ CIVILE “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11” RESPONSABILITA’ PER L’ESERCIZIO DI ATTIVITA’ PERICOLOSE “Chiunque cagiona danno ad altri nello svolgimento dell’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno” DANNI NON PATRIMONIALI “Il danno non patrimoniale deve essere risarcito solo nei casi determinati dalla legge” Tale norma è stata reinterpretata dalla Corte di Cassazione al fine di superare la portata restrittiva del testo di legge. I danni non patrimoniali sono pertanto risarcibili ogni volta che siano lesi interessi della persona di rilievo costituzionale, atteso che la Costituzione ha un indubbio valore di legge. GRAZIE PER L’ATTENZIONE PER QUALUNQUE RICHIESTA DI APPROFONDIMENTO : TELEFONO 02.36.58.43.55 FAX 02.36.58.43.54 EMAIL [email protected]