Per Dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
I Dati Particolari rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
I Dati Comuni sono dati personali che non rientrano nella categoria dei Dati Particolari, quali, a titolo esemplificativo, i dati anagrafici e di contatto.
L’art. 4, punto 2, del Reg. UE 679/2016 (di seguito GDPR), definisce il Trattamento dei Dati personali come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Il Trattamento dei Dati personali, per sua stessa natura, può costituire un’ingerenza del diritto alla riservatezza degli individui e di conseguenza è regolato in maniera puntuale dalla normativa sulla protezione dei Dati personali.
Il trattamento dei Dati Personali è legittimo quanto ricorre una Base Giuridica prevista dal GDPR (ad es., il consenso dell’Interessato, un obbligo legale, l’esecuzione del contratto, un interesse legittimo, ecc.).
Il Titolare del trattamento ha quindi l’obbligo di valutare quale sia, tra quelle indicate nel GDPR, la Base Giuridica più idonea rispetto alla tipologia di dati e al trattamento che intende porre in essere, e questo prima di iniziare il trattamento.
Per lo svolgimento delle attività di ricerca e di sperimentazione clinica l’unica Base Giuridica rilevante è il consenso dell’Interessato.
In assenza del consenso dell’Interessato, il trattamento di dati personali a fini di ricerca e di sperimentazione clinica è illecito.
Il consenso al trattamento dei dati personali rappresenta una delle basi giuridiche previste dalla normativa sulla privacy che rendono il trattamento legittimo. Il presupposto imprescindibile del consenso legittimamente prestato è che il soggetto che lo conferisce abbia la capacità giuridica per farlo. Ai sensi dell’art. 4, punto 11, del GDPR, il consenso, è costituito da «qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano».
Il consenso deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Qualora il trattamento abbia più finalità, il consenso deve essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire con il servizio per il quale il consenso è espresso.
L’informativa è il documento, allegato al consenso, che raccoglie tutte le informazioni utili e necessarie affinché lo stesso sia prestato nella piena consapevolezza da parte dell’interessato. Deve avere forma concisa, trasparente e dev’essere facilmente accessibile, per cui è utile unificare consenso ed informativa in un unico documento.
Anonimizzazione e pseudonimizzazione sono due concetti che spesso risultano di difficile distinzione nella pratica, ma comprenderne le differenze è essenziale ai fini del rispetto della normativa sulla protezione dei dati personali.
L’anonimizzazione è il processo che impedisce, in via definitiva, di ricondurre il dato personale al titolare e di conseguenza di identificarlo. I dati che subiscono questo processo si dicono Dati Anonimi e non sono considerati dati personali ai fini della normativa sulla privacy, che quindi di fatto non trova applicazione.
La pseudonimizzazione, invece, è definita dall’art. 4, punto 5 del GDPR, «il trattamento dei Dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile». In altre parole, i Dati Pseudonimizzati continuano ad essere Dati Personali, in quanto sono riconducibili alle persone fisiche che ne sono titolari, seppur attraverso un procedimento complesso che richiede informazioni aggiuntive (es. la crittografia).
Il Titolare del Trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del Trattamento dei Dati personali ed è il destinatario principale degli obblighi previsti dal GDPR, di cui ne è responsabile giuridicamente.
Il Titolare del Trattamento può essere autonomo, in quanto svolge la propria attività in modo assolutamente svincolato rispetto a soggetti terzi, oppure Contitolare del Trattamento. Nel caso della contitolarità, due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento, con la conseguenza che senza uno dei contitolari il trattamento non sarebbe possibile e ogni trattamento è inscindibile e inestricabilmente legato a quello degli altri.
In questa seconda ipotesi i Contitolari determinano in modo trasparente, mediante un accordo interno (accordo di contitolarità), le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR.
Il Responsabile del Trattamento dei Dati personali è la persona fisica o giuridica che tratta dati personali per conto del Titolare del Trattamento, sulla base di un accordo, un contratto o un atto di designazione tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.
Quale che sia lo strumento utilizzato per incaricare il Responsabile, è necessario che abbia un contenuto minimo previsto dal GDPR: la materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati.
Il Responsabile del Trattamento deve presentare garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate a garantire la corretta applicazione del GDPR nel suo ambito di competenza e risponde direttamente al Titolare in caso di violazione del regolamento o di richiesta danni da parte dell’interessato.
La minimizzazione dei Dati Personali è un principio fondamentale di protezione enunciato all’art. 5 lett. c) del GDPR, il quale prevede che i dati raccolti siano adeguati, pertinenti e limitati a quanto strettamente ed esattamente necessario rispetto alle finalità del trattamento previsto e dichiarate all’Interessato, senza alcuna eccedenza.
I Dati personali raccolti sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali è stato effettuato il trattamento. I tempi di conservazione variano quindi in base alla tipologia di dato raccolto e alla finalità del relativo trattamento.
Nell’ambito delle attività di ricerca e di sperimentazione clinica i dati dovranno essere conservati per tutto il tempo necessario per lo svolgimento dello studio.
Tra gli adempimenti principali del Titolare e del Responsabile del Trattamento rientra la tenuta del Registro delle Attività di Trattamento, ossia un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte.
Il Registro dei Trattamenti è quindi un documento di censimento e analisi dei trattamenti effettuati dal titolare o dal responsabile che fornisce un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. In quanto tale, il Registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La Valutazione d’Impatto è disciplinata dall’art. 35 del GDPR, che stabilisce al comma 1 che «quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali».
È un obbligo posto a carico del Titolare del Trattamento, che viene ottemperato con il supporto del Responsabile, nel caso sia presente e affinché si possa procedere con il Trattamento deve avere un esito positivo, che certifica che l’impianto privacy e di sicurezza sia corretto.
Si tratta di un documento complesso e multidisciplinare, in quanto deve contenere in via tassativa almeno:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
La Valutazione d’Impatto deve essere predisposta prima di procedere con il Trattamento dei dati ed è oggetto di revisione continua. Il Trattamento dei dati infatti è un’attività in continua evoluzione ed estremamente mutevole, pertanto affinché la DPIA sia attendibile va aggiornata regolarmente.
Con il provvedimento del 5 giugno 2019, n. 146, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, il Garante della Privacy ha aggiornato e modificato le disposizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica.
In particolare, è stato previsto che ove non sia possibile acquisire il consenso degli interessati, il titolare del trattamento deve documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, tra le quali, in particolare, motivi di impossibilità organizzativa.
Con «motivi di impossibilità organizzativa» si intende far riferimento a tutti quei motivi riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo studio riguarda interessati con patologie ad elevata incidenza di mortalità o in fase terminale della malattia o in età avanzata e in gravi condizioni di salute).
In altre parole, i motivi di impossibilità organizzativa che legittimano il titolare a procedere con il trattamento anche senza il consenso, possono derivare dal fatto che la dimensione del campione è così ampia che richiedere il consenso a tutti i pazienti pregiudicherebbe la conduzione dello studio oppure nel caso in cui si indaga su patologie che presentano un alto tasso di mortalità e quindi è molto probabile che i soggetti interessati non siano più in grado di fornire una autorizzazione.
Con riferimento a tali motivi di impossibilità organizzativa, le seguenti prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente) risultino essere, al momento dell’arruolamento nello studio, deceduti o non contattabili.
Resta fermo l’obbligo di rendere l’informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, ciò sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo, anche al fine di consentire loro di esercitare i diritti previsti dal GDPR.
La questione si pone in tutta la sua delicatezza per gli studi osservazionali retrospettivi, nei quali, i dati raccolti si riferiscono ad eventi che si sono già verificati. In questi casi, anche ove siano coinvolti pazienti non più afferenti alla struttura, le prescrizioni del Garante prevedono che è comunque necessario tentare di contattarli al fine di acquisire il loro consenso al trattamento dei dati. Il contatto può avvenire tramite recapito postale (invio dell’informativa e consenso al domicilio con richiesta di restituzione del modulo di consenso firmato) oppure tramite contatto telefonico o e-mail, ma solo se il paziente vi ha prestato, in precedenza, espresso consenso.
Qualora tutti i tentativi non andassero a buon fine, fatto ogni ragionevole sforzo, il paziente verrà dichiarato irraggiungibile e, in conformità alla normativa, i suoi dati clinici potranno essere utilizzati a scopo di ricerca anche in assenza del suo consenso nelle more dell’adozione di modalità organizzate volte ad ottemperare agli obblighi previsti all’art. 110 del d.lgs. 30 giugno 2003, n. 196 come modificato dal d.lgs. 10 agosto 2018, n. 101.
Per procedere con il trattamento anche senza il consenso dell’interessato, è infatti necessario che il titolare (nella persona del Responsabile scientifico o dei suoi collaboratori) dimostri mediante apposita documentazione che sono stati compiuti dei tentativi di contattare i pazienti, impiegando uno «sforzo ragionevole e proporzionato».
In caso contrario troverà applicazione la disciplina generale prevista dall’art. 110 del D.Lgs 196/2003 (Codice della Privacy), come novellato dal D.Lgs. n. 101/2018, che richiede la Valutazione d’Impatto e la consultazione preventiva al Garante della Privacy (ai sensi dell’art. 36 del GDPR).
Il Data Breach è una violazione di sicurezza che ha come principale conseguenza accidentale o in modo illecito la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati trasmessi. Ciò comporta effetti negativi significativi sugli individui, che possono tradursi in danni psicologici, materiali e immateriali.
Le violazioni dei dati possono essere classificate in base a tre principi di sicurezza: - “violazione di riservatezza” dove c’è un accesso non autorizzato; - “violazione di integrità” dove c’è una modifica non autorizzata o accidentale; - “violazione di disponibilità” dove c’è una perdita o una distruzione accidentale o non autorizzata.