Scenario:
Una biobanca di ricerca per arricchire il data set collegato ai campioni decide di utilizzare le c.d. omiche al fine di estrarre ulteriori dati dal materiale biologico e quindi meglio caratterizzare i campioni.
Ai sensi dell’articolo 4, c. 1, n. 2) del GDPR la caratterizzazione può essere letta come un “trattamento di dati personali”.
Infatti, viene definito come tale “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”
Per individuare le azioni da compiere in modo da poter, poi, legittimamente caratterizzare e, quindi, trattare i campioni ed i dati ad essi connessi, è necessario individuare la tipologia di dati personali che vengono trattati e le finalità del trattamento.
In questo caso, la biobanca di ricerca effettuerà il trattamento dei dati personali a fini di ricerca scientifica.
Il trattamento dei dati personali effettuato per tale finalità, ai sensi dei considerando 156 e seguenti del GDPR e dell’articolo 89, è soggetto “a garanzie adeguate per i diritti e le libertà dell'interessato” in conformità al Regolamento Generale e sia il diritto europeo sia quello degli Stati membri possono prevedere delle deroghe ad alcuni dei diritti degli interessati (articoli 15, 16, 18 e 21, vale a dire al diritto di accesso dell’interessato, di rettifica, di limitazione dei trattamenti e di opposizione).
Nell’ordinamento italiano i trattamenti dei dati per tali finalità sono disciplinati, oltre che dalle disposizioni europee, anche da:
- gli articoli 97 e seguenti del d.lgs. 30 giugno 2003, n. 136 (Codice in materia di protezione dei dati personali), così come modificato dal d.lgs. n. 101/2018;
- il Provvedimento n. 146 del 2019 con il quale sono state richiamate e rese conformi alle disposizioni del GDPR le Autorizzazioni generali n. 8/2016 (sul trattamento dei dati genetici) e la n. 9/2016 (sul trattamento dei dati personali effettuato per scopi di ricerca scientifica);
- le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante con provvedimento n. 515, del 19 dicembre 2018, allegato A5 al Codice (attenzione: tali regole, a seguito delle modifiche all’articolo 110 del Codice, sono attualmente a loro volta in corso di modifica e aggiornamento così come disposto dal provvedimento del Garante n. 298 del 9 maggio 2024).
La tipologia di dati personali che vengono trattati in questo contesto è o può essere inquadrata come:
- “Dati genetici”
L’ articolo 4, n. 13 del GDPR qualifica dati genetici «i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione». Per il considerando 34, «è opportuno che per dati genetici si intendano i dati personali relativi alle caratteristiche genetiche di una persona fisica, ereditarie o acquisite, che risultino dall'analisi di un campione biologico della persona fisica in questione e, in particolare, dall'analisi dei cromosomi, dell'acido desossiribonucleico (DNA) o dell'acido ribonucleico (RNA), ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti»;
e/o
- “Dati relativi alla salute”
L’articolo 4, n.15, del GDPR, qualifica i dati relativi alla salute quei «dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni circa il suo stato di salute». Per il considerando 35 «comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro».
Entrambe tali tipologie di dati sono considerate dal GDPR come “categorie particolari di dati” i quali, ai sensi del primo periodo del considerando 50, «meritano una specifica protezione» poiché dati personali che «per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali».
Pertanto, la prima azione da compiere, prima di effettuare il trattamento di tali dati, ai sensi degli articoli 35 e 36 del GDPR, dovrebbe essere la predisposizione di una valutazione di impatto sulla protezione dei dati (DPIA) anche al fine di poter meglio delineare, sin dall’inizio, quali potrebbero essere i rischi per gli interessati e quali soluzioni adottare per ridurli, in modo da soddisfare il requisito della “protezione dei dati fin dalla progettazione” (data protection by design).
In merito, poi, a come tale trattamento potrà essere legittimamente posto in essere è necessario fare riferimento, in primo luogo, all’articolo 9 del GDPR il quale prevede un divieto generale di trattamento di tali categorie di dati salvo che il trattamento non rientri in una delle eccezioni, aventi carattere tassativo, previste dal paragrafo 2 del medesimo articolo. Tra le quali quella di cui alla lettera j) “il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.
Dal momento che il paragrafo 4 dell’articolo 9 consente agli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con specifico riferimento ai dati genetici e ai dati relativi alla salute (oltre che ai dati biometrici) è necessario verificare la normativa nazionale adottata da ciascuno Stato Membro, dalla quale potrebbe derivare un contemperamento potenzialmente differente con la regolamentazione europea.
L’Italia si è avvalsa della possibilità di introdurre ulteriori condizioni con il d.lgs. n. 101/2018, che ha integrato il d.lgs. 196/2003, con l’introduzione dell’art. 2 septies, co. 6, che dispone «i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo» e, in particolare, «le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura nonché quelle di cui al comma 4, lettere b), c) e d), sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità. Limitatamente ai dati genetici, le misure di garanzia possono individuare, in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato, a norma dell'articolo 9, paragrafo 4, del regolamento, o altre cautele specifiche».
Le misure di garanzia di cui sopra sono state adottate con il già richiamato Provvedimento n. 146 del 2019 il quale, riprendendo l’Autorizzazione generali n. 8/2016 (sul trattamento dei dati genetici), sostanzia la normativa alla quale fare riferimento.
Nell’ambito del Provvedimento n. 146 del 2019 si deve fare riferimento all’Allegato 1, punto 4 – Prescrizioni relative al trattamento dei dati genetici.
In questa sede sono previste delle prescrizioni specifiche riguardanti la custodia e la sicurezza di tale categoria di dati.
Tali prescrizioni riguardano, in particolare, le cautele da adottare in generale per il trattamento dei dati genetici in relazione alle modalità di:
- accesso ai locali.
- conservazione, utilizzo e trasporto dei campioni biologici, volte a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità.
- trasferimento dei dati genetici.
- autenticazione per la consultazione dei dati genetici trattati.
- Oltre che alle misure tecniche e alle modalità di trattamento di dati genetici e campioni biologici contenuti in elenchi, registri o banche di dati.
Accanto alle prescrizioni di cui sopra, l’autorizzazione generale specifica la disciplina generale sulle informazioni all’interessato, sul consenso e sulla comunicazione e diffusione dei dati, sia a prescindere dalle specifiche finalità del trattamento, sia con espresso riferimento, per quanto interessa in questa sede ai trattamenti di dati genetici per finalità di ricerca scientifica.
Per quanto riguarda tali ultimi trattamenti, è previsto che essi siano consentiti solo se volti alla tutela della salute dell’interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico, anche nell’ambito della sperimentazione clinica o ricerca scientifica volta a sviluppare le tecniche di analisi genetica.
È previsto, inoltre, che il trattamento debba essere svolto sulla base di un progetto redatto conformemente agli standard del pertinente settore disciplinare, anche al fine di documentare che il trattamento dei dati e l’utilizzo dei campioni biologici sia effettuato per idonei ed effettivi scopi scientifici.
Nel progetto devono essere specificate le misure che verranno adottate per garantire il rispetto di tutta la normativa sulla protezione dei dati personali, anche per i profili riguardanti la custodia e la sicurezza dei dati e dei campioni biologici, e devono essere individuati, già in sede progettuale, gli eventuali responsabili del trattamento (art. 28 Regolamento UE 2016/679). In particolare, laddove la ricerca preveda il prelievo e/o l’utilizzo di campioni biologici, il progetto indica l’origine, la natura e le modalità di prelievo e di conservazione dei campioni, nonché le misure adottate per garantire la volontarietà del conferimento del materiale biologico da parte dell’interessato.
Il progetto è conservato in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell’applicazione della normativa in materia di protezione dei dati personali) per cinque anni dalla conclusione programmata della ricerca.
Considerato che la caratterizzazione dei campioni da parte di una biobanca può rappresentare una attività di servizio ulteriore non specificamente connessa ad un progetto di ricerca inteso in senso stretto, è opportuno che, comunque, vi sia un documento formale della biobanca nel quale siano indicati tutti gli elementi che l’autorizzazione generale indica come necessari per il progetto di ricerca sulla base del quale trattare i dati.
A questo proposito sarebbe opportuno il coinvolgimento del Comitato Etico competente, posto che l’attività di caratterizzazione dei campioni potrebbe ben essere una attività ulteriore non prevista tra gli scopi e le finalità dichiarate dalla biobanca all’atto della sua istituzione.
Peraltro, ai sensi dell’articolo 110 del d.lgs. 196/2003, il motivato parere favorevole del competente comitato etico a livello territoriale è obbligatorio qualora il trattamento sia effettuato senza il consenso degli interessati nei casi in cui a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.
Nella predisposizione della documentazione e, in particolare, dell’informativa e del consenso al trattamento dei dati, si deve considerare quanto segue.
Contenuto necessario delle informazioni da fornire agli interessati
In aggiunta a quanto previsto dagli articoli 13 e 14 del GDPR e degli artt. 77 e 78 del d.lgs. 196/2003 per il medico di medicina generale e per il pediatra di libera scelta, ai sensi del Provvedimento 146/2019, devono essere fornite agli interessati le seguenti ulteriori informazioni:
a) i risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici;
b) la facoltà o meno, per l’interessato, di limitare l’ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici, nonché l’eventuale utilizzo di tali dati per ulteriori scopi.
c) gli accorgimenti adottati per consentire l’identificazione degli interessati soltanto per il tempo necessario agli scopi della raccolta o del successivo trattamento (art. 25 Regolamento UE 2016/679);
d) le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca.
Nel caso in cui il trattamento riguardi minori di età, il provvedimento prevede che l’interessato sia contattato nuovamente dopo il raggiungimento della maggiore età per fornire le informazioni relative al trattamento dei dati personali, anche al fine dell’acquisizione di una nuova manifestazione del consenso (con. 38, 58, e artt. 5 e 8 Regolamento (UE) 2016/679 e artt. 82, comma 4, del Codice).
In ogni caso, i trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca necessitano del consenso degli interessati; in questi casi agli interessati è richiesto di dichiarare se vogliono conoscere o meno i risultati della ricerca, comprese eventuali notizie inattese che li riguardano, qualora queste ultime rappresentino per gli interessati un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive.
Consenso
Il consenso è la base giuridica necessaria nel caso di trattamenti per finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento.
È prevista una eccezione a tale previsione nel caso in cui l’interessato non possa fornire il proprio consenso per incapacità.
I suoi dati genetici e i campioni biologici possono essere trattati per finalità di ricerca scientifica che non comportino un beneficio diretto per lo stesso qualora ricorrano contemporaneamente le seguenti condizioni:
a) la ricerca è finalizzata al miglioramento della salute di altre persone appartenenti allo stesso gruppo d’età o che soffrono della stessa patologia o che si trovano nelle stesse condizioni e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale;
b) una ricerca di analoga finalità non può essere realizzata mediante il trattamento di dati riferiti a persone che possono prestare il proprio consenso;
c) il consenso al trattamento è acquisito da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato;
d) la ricerca non comporta rischi significativi per la dignità, i diritti e le libertà fondamentali degli interessati.
In ogni caso, deve essere tenuta in considerazione, ove possibile, l’opinione del minore o dell’incapace.
Nel caso in cui l’interessato revochi il consenso al trattamento dei dati per scopi di ricerca, è distrutto anche il campione biologico sempre che sia stato prelevato per tali scopi, salvo che, in origine o a seguito di trattamento, il campione non possa più essere riferito ad una persona identificata o identificabile.