Newsletter: Sperimentazione di farmaci – il Garante propone modelli e formule
Con deliberazione n. 52 del 24 luglio 2008 il Garante per la protezione dei dati personali ha adottato le “Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali”, un provvedimento che pone l’Italia all’avanguardia in Europa nella protezione della privacy dei pazienti che si sottopongono a sperimentazioni farmacologiche, fornendo chiarimenti in merito alla normativa applicabile (in particolare, il D.M. 15 luglio 1997).
Il Garante ha predisposto un modello di informativa per i pazienti, che potrà essere adottato dai promotori e sottoposto dai centri di sperimentazione al paziente, volto a individuare gli elementi necessari affinché l’informativa sia completa e conforme ai requisiti previsti dalla legge.
Le linee guida hanno, inoltre, specificato una formula che può essere adottata per l’acquisizione del consenso dei pazienti al trattamento dei dati personali, da sottoporre agli interessati unitamente al modello d’informativa: in mancanza di tale consenso, infatti, il trattamento è illecito (artt. 23 e 26 del Codice Privacy). I test clinici sui farmaci comportano un rilevante flusso di dati sanitari tra i diversi soggetti di volta in volta coinvolti nell’operazione, quali:
· le società farmaceutiche o “promotori”, che ricoprono il ruolo di “titolari” del trattamento dei dati ai sensi del Codice Privacy;
· i “centri di sperimentazione”, in veste di “responsabili” del trattamento dei dati;
· i collaboratori interni e/o esterni di cui le aziende ospedaliere o gli istituti di ricerca autorizzati si avvalgono, che normalmente rivestono il ruolo di “incaricati” del trattamento.
Il Garante ha chiarito che tali dati, seppur codificati, sono facilmente ricollegabili all’identità dei pazienti, dunque il loro trattamento non avviene in forma anonima.
L’informativa da sottoporre agli interessati dovrà specificare: a) la natura dei dati trattati e la circostanza che tali dati vengono trasmessi all’estero; b) il ruolo effettivamente svolto dal promotore riguardo al trattamento dei dati e alle sue finalità e modalità; c) i soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di incaricati o di responsabili; d) l’esercizio del diritto d’accesso e degli altri diritti in materia di dati personali riconosciuti al paziente nei confronti del promotore e degli altri soggetti eventualmente destinatari dei dati ai sensi degli artt. 7 e 8 del Codice Privacy.
L’informativa ed il relativo consenso permettono ai pazienti di esprimere la propria volontà anche in merito al trasferimento dei dati a Paesi extra-UE che non garantiscono un livello adeguato di protezione dei dati personali. Infatti, affinché il trasferimento extra-UE di dati sia lecito è necessario (i) la manifestazione da parte dell’interessato di uno specifico consenso scritto, oppure (ii) l’adozione di garanzie equipollenti e adeguate per i diritti degli interessati (quali, ad esempio, clausole contrattuali standard che definiscano con precisione i ruoli svolti nell’ambito del trasferimento e del trattamento dei dati e specifichino le tipologie di trattamento).
Da ultimo, il provvedimento raccomanda l’adozione di specifici accorgimenti tecnici necessari al fine incrementare il livello di sicurezza dei dati trattati e garantire la loro protezione da rischi di accesso abusivo, quali, ad esempio, l’applicazione di tecnologie crittografiche.