Condividere dati per la ricerca sanitaria nel rispetto della privacy. ARTICOLO AGGIORNATOa cura di Elisa Valesio, Regione Piemonte - Grazia Bertiglia, DoRSPubblicato il 11 Aprile 2014Aggiornato il 17 Dicembre 2018Testi normativiAGGIORNAMENTO A SEGUITO DEL GDPR 2016/679IL CASO IN ESAMEQUALI INDICAZIONI DA’ IL GARANTELE PRIME REAZIONI DELLA SOCIETA’ ITALIANA DI NEFROLOGIAREGISTRI NAZIONALI DI PATOLOGIAAGGIORNAMENTO A SEGUITO DEL GDPR 2016/679Il 24 maggio 2018 è diventato pienamente operativo il Regolamento europeo 2016/679 sulla protezione dei dati e l'Italia, con il D.Lgs. 101 del 10 agosto 2018 ha adeguato il proprio Codice. Le nuove disposizioni modificano in particolare la possibilità di trattare i dati sulla base delle finalità. (v. art 6, comma 3 DGPR). Si suggerisce la lettura dell'articolo Sanità pubblica e modifiche al codice per il trattamento dei dati sanitari in Italia pubblicato su questo sito a Settembre 2018, riportato a fianco fra gli articoli correlati in particolare per gli aspetti inerenti l’acquisizione del consenso.IL CASO IN ESAMENel 2013 il Garante privacy ha effettuato degli accertamenti ispettivi pressola Società Italianadi Nefrologia, associazione scientifica senza scopo di lucro, (pur tuttavia ente privato) che si occupa di ricerca medico-epidemiologica su soggetti con insufficienza renale cronica. L’esito arriva con un provvedimento del Garante datato gennaio 2014. I controlli sono stati rivolti in particolare a valutare il rispetto della protezione della privacy nel passaggio di dati dai registri regionali al Registro Italiano di Dialisi e Trapianto, e da questi al registro europeo. Va premesso che non vi era, in nessun caso, passaggio dei dati identificativi diretti (nominativi, codice fiscale) dei soggetti, pazienti dei centri di dialisi. Il provvedimento richiama due principi di carattere generale: 1) Gli enti privati che si occupano di ricerca possono operare su dati personali raccolti dalle strutture pubbliche, soltanto con il consenso del paziente; 2) in caso di mancanza del consenso devono utilizzare dati anonimi, privi di informazioni che rendano comunque identificabili i malati anche in via teorica (codice paziente, data di nascita, codice della malattia) nonché altri numerosi dati sensibili (come i risultati degli esami clinici e le patologie in corso). QUALI INDICAZIONI DA’ IL GARANTELe indicazioni fornite dal Garante sono dettagliate nel provvedimento, dopo una lunga disamina di ogni aspetto del trattamenti dei dati da parte dei centri di dialisi e della Società Italiana di Nefrologia (in particolare, punto 2. “profili di criticità”). Sono principi che devono essere osservati da tutti gli enti privati che si trovano a compiere ricerche epidemiologiche e che sono di particolare interesse per ogni registro che si trovi a rispondere di richieste di dati da terzi, sia sistematiche, come nel caso in esame, sia estemporanee. La prescrizione del Garante per la Privacy impone di adottare misure che rendano i dati trattati realmente anonimi, cioè che impediscano qualsiasi possibilità di ricondurre un singolo caso a un individuo, pur in via teorica; soltanto così si esclude l’applicazione della normativa sulla privacy e quindi non occorre più acquisire il consenso a quel trattamento di dati da parte di ogni paziente. LE PRIME REAZIONI DELLA SOCIETA’ ITALIANA DI NEFROLOGIA La Società italiana di Nefrologia, entro il mese di Giugno 2014, dovrà dare riscontro circa le misure assunte per adeguarsi alle prescrizioni del Garante. Con una lettera inviata ai referenti regionali di dialisi, la Società sottolinea le criticità che emergono dalle indicazioni del Garante, più importante delle quali l’impossibilità di ricondurre a ritroso un paziente alla sua “storia”, dopo la ricodifica del codice di anonimizzazione con un codice casuale; questo rende impossibile l’implementazione di un registro a livello nazionale perché manca la possibilità di collegare i casi di anno in anno, impedisce di correggere eventuali errori risalendo ai dati presenti nelle strutture regionali, non consente alcun follow up. L’acquisizione del consenso da parte dei singoli pazienti, pur in presenza di trattamenti sanitari che portano il paziente con frequenza presso le strutture sanitarie, è operazione lunga che richiede un adeguamento dei sistemi per tracciare questo consenso, e comporta l’incompletezza dei registri per i casi che non hanno espresso il consenso. REGISTRI NAZIONALI DI PATOLOGIAIn vista della riflessione avviata presso il Ministero della Salute per dare compimento alla normativa nazionale in materia di registri di patologia e sistemi di sorveglianza (art. 12, commi 11 e 13 del d.l. 18 dicembre 2012 n. 179 convertito, con modificazioni, dall’art.1 comma1, l. 17 dicembre 2012, n. 221) alcune delle indicazioni fornite dal Garante nel provvedimento di cui sopra potranno essere utili, sia per essere raccolte come indicazioni operative, sia per definire, nella norma di legge, le possibilità di superare quei limiti imposti dal provvedimento del Garante alla società scientifica, riconoscendo un superiore interesse pubblico dei registri di patologia. Va ricordato che allo stato attuale i registri di patologia sono stati istituiti da gran parte delle regioni con proprie leggi, e il DPCM previsto dal D.L. sopra citato ha disegnato il quadro a livello nazionale ma la mancanza del regolamento attuativo dei registri nazionali rappresenta ancora oggi (nel 2018) una lacuna da colmare. DOWNLOAD & LINKart icolo12 della legge 221/2012TAG ARTICOLODATI PERSONALI; EPIDEMIOLOGIA; PRIVACY; REGISTRI; RICERCA SANITARIA;
