g-docweb-display Portlet

Provvedimento del 7 aprile 2022 [9772545]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9772545]

Provvedimento del 7 aprile 2022

Registro dei provvedimenti
n. 118 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510);

VISTE le istanze di consultazione preventiva presentate, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dalla Azienda Ospedaliero Universitaria di Parma, con sede legale in Via Gramsci, 14 - 43126 Parma, per la realizzazione dello studio retrospettivo denominato “Effetti dell’infezione da SARS-CoV-2 sugli accessi al pronto soccorso e sui ricoveri della popolazione di età pediatrica e adolescenziale” (26 luglio 2021 e del 6 dicembre 2021);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

Con nota del 26 luglio 2021, l’Azienda Ospedaliero Universitaria di Parma (di seguito l’”Azienda”) ha presentato un’istanza di consultazione preventiva, ai sensi dell’art. 110, comma 1, ultimo capoverso del Codice e dell’art. 36 del Regolamento, in qualità di promotore dello studio no profit, monocentrico, osservazionale, retrospettivo, non farmacologico denominato “Effetti dell’infezione da SARS-CoV-2 sugli accessi al pronto soccorso e sui ricoveri della popolazione di età pediatrica e adolescenziale” (di seguito “Studio”), trasmettendo il protocollo dello studio e la relativa valutazione di impatto, redatta ai sensi dell’art. 35 del Regolamento. A seguito delle osservazioni formulate dall’Ufficio nell’ambito dell’istruttoria preliminare (nota del 31 agosto 2021- prot. n. 44074), che mettevano in luce rilevanti criticità in relazione ai profili di protezione dei dati personali nei trattamenti oggetto dello Studio (di cui si dirà di seguito), l’Azienda (con nota del 6 dicembre 2021) ha trasmesso una nuova istanza di  consultazione preventiva, ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, su una versione aggiornata dello studio unitamente al nuovo Protocollo dello stesso (versione del 10 ottobre 2021) e la valutazione di impatto sul trattamento dei dati. Tale documentazione è stata ulteriormente integrata con nota del 15 marzo 2022 a seguito di una specifica richiesta di informazione dell’Ufficio (nota del 9 marzo 2022, prot. n. 14337). Il presente parere è reso su tali ultimi atti.

Lo Studio è volto a “descrivere l’effetto della pandemia da SARS-CoV-2, in termini spaziali e temporali, sull’occorrenza dei ricoveri e degli accessi in Pronto Soccorso negli Ospedali della Regione Emilia-Romagna”. In particolare, esso si pone come obiettivo primario quello di analizzare e confrontare, attraverso specifiche tecniche statistiche, il “numero di accessi in Pronto Soccorso e di ricoveri nei soggetti di età <18 anni, nel periodo 1° marzo 2020-28 febbraio 2021 rispetto ai 3 anni precedenti (1° marzo 2017-28 febbraio 2020), e per singola provincia” e “prevede il confronto spazio-temporale [dei dati] mediante l’utilizzo della regressione ecologica e del modello Besag York Mollie”.

L’obiettivo secondario dello Studio è invece quello di “investigare le differenze riscontrate nelle caratteristiche demografiche e cliniche della popolazione pediatrica che ha avuto accesso in Ospedale durante la pandemia da Covid-19”. A tal fine, è prevista un’analisi di regressione logistica per valutare l’associazione tra fattori di rischio (es. patologie croniche sottostanti, età) e la diagnosi di dimissione.

Alla luce delle modifiche apportate, che tengono in parte conto delle osservazioni formulate dall’Ufficio per la realizzazione dello Studio, non è più prevista l’estrazione di dati relativi alla salute in forma pseudonimizzata “dai flussi informativi derivanti dalle Schede di Dimissione Ospedaliera e dagli Accessi di Pronto Soccorso” contemplata nella prima versione dello studio presentata al Garante. La raccolta dei dati personali sarebbe dovuta avvenire “accedendo ai seguenti flussi [regionali]: - EMUR PS che raccoglie i dati relativi a tutti gli accessi avvenuti nelle strutture della scheda di dimissione ospedaliera relativi ad ogni paziente dimesso dagli ospedali pubblici e privati della RER rete dell'Emergenza Urgenza della Regione Emilia- Romagna, sia Pronto soccorso (generale e specialistici) che Punti di Primo Intervento (ospedalieri e territoriali) - SDO che raccoglie i dati della scheda di dimissione ospedaliera relativi ad ogni paziente dimesso dagli ospedali pubblici e privati della RER”. Tale estrazione sarebbe stata svolta attraverso l’ausilio “di personale esperto dell’Azienda Ospedaliero-Universitaria di Parma, in possesso di username e password, autorizzato istituzionalmente all’accesso alle banche dati per fini gestionali (Controllo di gestione)”.

L’attuale progetto, invece, in conseguenza del mutamento da studio monocentrico a studio di tipo multicentrico, prevede la raccolta dei dati direttamente presso i Centri partecipanti, che agiscono in qualità di autonomi titolari del trattamento. A tale riguardo è stato dichiarato che “la raccolta dati è retrospettiva in quanto verranno utilizzati dati già raccolti a fini assistenziali, presenti nelle Schede di Dimissione Ospedaliera e negli Accessi di Pronto Soccorso delle Aziende Ospedaliere partecipanti”, con ciò assumendo il carattere di studio multicentrico, osservazionale e retrospettivo.

Nel Protocollo è previsto che “I dati saranno inseriti in un foglio Microsoft Excel® protetto da password. Al termine della raccolta dati (…), l’archivio Excel sarà inviato al Promotore su supporto elettronico (CD-ROM). I supporti digitali saranno conservati presso l’Archivio degli studi clinici della Clinica Pediatrica di Parma per 7 anni dalla fine dello studio (…) per essere poi distrutti” (cfr. pag 4, sezione “Raccolta e gestione dei dati”). Nella Valutazione d’impatto è precisato che al fine di escludere l’identificazione diretta degli interessati sono utilizzati “codici univoci. Solo il responsabile della ricerca e i soggetti preventivamente designati autorizzati al trattamento in numero di 9, possono (con l’uso di mezzi ragionevoli) collegare i codici all’identità dei partecipanti”.

Inoltre, con nota del 23 febbraio 2022, l’Azienda per il tramite del proprio responsabile della protezione dei dati, in riscontro ad un’ulteriore richiesta di elementi dell’Ufficio, del 27 gennaio 2022 (prot. n. 5714), ha chiarito che “le caratteristiche demografiche che si intendono raccogliere, essenziali per il raggiungimento degli obiettivi dello studio sono l’età e il genere alla nascita”. Con specifico riferimento alle modalità di comunicazione dei dati tra il Promotore e i Centri partecipanti, l’Azienda ha dichiarato che “saranno fornite specifiche istruzioni relative alle modalità di trasmissione dei CD contenenti i dati pseudonimizzati”. In particolare verrà richiesto di trasmettere al PI dello Studio i CD contenenti dati protetti da password tramite Raccomandata AR, (..)comunicando la password ricorrendo ad altro canale. I dati saranno archiviati su server aziendale in apposita cartella protetta da password con accesso limitato ai soli autorizzati”.

In relazione ai tempi di conservazione, l’Azienda ha chiarito che “I supporti digitali e il dataset saranno conservati presso l’Archivio degli studi clinici della Clinica Pediatrica di Parma fino alla conclusione dello studio (Padiglione 15, piano 2, stanza 091) per essere poi distrutti. Il fascicolo dello studio, in cui è conservata la documentazione protocollata attinente allo studio (richiesta iniziale da parte del Responsabile scientifico, approvazione rilasciata dal Comitato Etico territorialmente competente, autorizzazione del legale rappresentante dell’Azienda…) privo di dati personali riferiti ai pazienti, sarà conservato per cinque anni dalla conclusione dello studio e successivamente smaltito”.

L’Azienda ha inoltre meglio rappresentato i motivi per i quali non è possibile acquisire il consenso degli interessati, precisando che “non è possibile dal punto di vista organizzativo contattare i genitori di tutti coloro che sono stati ricoverati negli ultimi 5 anni negli Ospedali coinvolti (…) che potrebbero essersi trasferiti in altra residenza o aver cambiato contatti telefonici” e per ragioni economiche e di risorse, trattandosi di uno studio no profit. “Inoltre il tempo necessario per contattare circa 30.000 interessati potrebbe vanificare l’attualità della ricerca correlata al periodo pandemico, compromettendo il raggiungimento degli obiettivi dello Studio”.

Da ultimo con specifico riferimento alle modalità con cui si intendono fornire le informazioni ai pazienti arruolati non contattabili, ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6 delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice, l’Azienda ha rappresentato che esse saranno “pubblicate sul sito web di ogni singola Azienda sanitaria partecipante” nonché sul sito internet dell’Azienda stessa.

L’Azienda, ha inoltre trasmesso il parere favorevole del Comitato Etico dell’Area Vasta Emilia Nord, del 14 aprile 2021.

2. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni relative al trattamento dei dati genetici (se necessario) e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegati 4 e 5 al provvedimento del 5 giugno 2019 (doc. web 9124510), nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica allegato A5 al Codice, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto, previsto dalla disciplina di settore, non è necessario (...) “quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2 lett. j) e par. 4 del Regolamento).

In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento (art. 110 del Codice, art. 9, par. 2 lett. j) e par. 4 del Regolamento).

Il Regolamento e il Codice prevedono poi specifiche disposizioni per il trattamento di dati personali svolti per il perseguimento di compiti di interesse pubblico o connessi all’esercizio di pubblici poteri, ivi inclusi i trattamenti svolti per fini di ricerca scientifica. In particolare, a tal fine è richiesto che tali trattamenti siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 6, par. 1, lett. e), par. 2 e 3, art. 9, par. 2, lett. g) e art. 89 del Regolamento e art. 2-sexies, comma 2, lett. cc), del Codice).

Su tali basi, tenuto conto che per la realizzazione del progetto l’Azienda intendeva originariamente raccogliere dati personali, anche inerenti alla salute degli interessati, dai flussi regionali (SDO e EMUR) -determinando una comunicazione di dati sulla salute tra la Regione e l’Azienda- l’Ufficio in sede istruttoria ha evidenziato l’assenza di un idoneo presupposto giuridico in relazione alla possibilità di realizzare tale flusso di dati.

La procedura di cui all’art. 110, comma 1, secondo capoverso del Codice non può infatti costituire di per sé sola la base normativa per consentire a soggetti che -come nel caso in esame la Regione Emilia Romagna-, trattano dati per l’esecuzione di compiti di interesse pubblico, di comunicare tali dati per scopi di ricerca scientifica. Tale trattamento è ammesso solo se espressamente previsto da una specifica base normativa che soddisfi i requisiti di cui all’art. 2-sexies del Codice).

L’istanza di consultazione preventiva ivi prevista rappresenta, invece, una norma di chiusura per consentire che trattamenti di dati personali che si sarebbero dovuti fondare sul consenso degli interessati possano comunque essere svolti. Tale disposizione non può pertanto essere utilizzata surrettiziamente per svolgere operazioni di trattamento per le quali il consenso degli interessati non potrebbe costituire un idoneo presupposto giuridico (Considerando 43).

Si segnalano altresì le conseguenze che un simile artifizio giuridico provocherebbe sui diritti degli interessati. In ambito di ricerca, medica biomedica e epidemiologica svolta sulla base del consenso o della procedura di cui all’art. 110 del Codice, salve le limitazioni di cui all’art. 89 par. 2, del Regolamento, gli interessati possono revocare il consenso. Questa garanzia si estende, nella forma del diritto alla cancellazione anche ai pazienti, ivi inclusi quelli deceduti (art. 2-terdecies del Codice), non direttamente contattati che grazie alla pubblicazione dell’informativa attraverso canali da essi potenzialmente accessibili (cfr. infra) abbiamo appreso del progetto di ricerca (art. 17 del Regolamento).

Nelle ipotesi di trattamenti di dati personali svolti per l’esecuzione di un interesse pubblico, gli interessati godono del diritto di opposizione che potrebbe essere limitato qualora il titolare dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, i diritti e le libertà dell'interessato. Tale diritto inoltre non spetta quando i dati personali siano trattati a fini di ricerca a norma dell'articolo 89, paragrafo 1, per l'esecuzione di un compito di interesse pubblico (art. 21, par. 1 e 6, del Regolamento).

Sotto altro profilo, si rileva altresì come una simile iniziativa esporrebbe le banche dati sanitarie regionali ad elevati rischi di violazione e di vanificazione delle misure di pseudonimizzazione ivi implementate, giacché sarebbero di continuo accedute da soggetti terzi non necessariamente dotati di infrastrutture idonee a garantire misure di sicurezza equivalenti.

Proseguendo nell’indicazione delle principali norme di protezione dei dati personali rilevanti nella fattispecie in esame, si evidenzia che, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3, delle Regole deontologiche, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità, ad esempio, con le seguenti modalità:

- per trattamenti riguardanti insiemi numerosi di soggetti distribuiti sull’intero territorio nazionale, inserzione su almeno un quotidiano di larga diffusione nazionale o annuncio presso un’emittente radiotelevisiva a diffusione nazionale;

- per trattamenti riguardanti insiemi numerosi di soggetti distribuiti su un’area regionale (o provinciale), inserzione su un quotidiano di larga diffusione regionale (o provinciale) o annuncio presso un’emittente radiotelevisiva a diffusione regionale (o provinciale);

- per trattamenti riguardanti insiemi di specifiche categorie di soggetti, identificate da particolari caratteristiche demografiche e/o da particolari condizioni formative o occupazionali o analoghe, inserzione in strumenti informativi di cui gli interessati sono normalmente destinatari”.

3. Le valutazioni dell’Autorità

3.1. Le basi giuridiche del trattamento dei dati

L’Azienda, in qualità di Promotore dello Studio e di titolare del trattamento, come previsto dall’art. 110 del Codice e 36 del Regolamento, ha presentato al Garante il progetto e la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello stesso. Dalla documentazione esaminata, come da ultimo integrata alla luce delle osservazioni formulate dall’Ufficio in sede di istruttoria preliminare, il Garante ritiene che l’Azienda abbia correttamente individuato le basi giuridiche del trattamento, specificando altresì i motivi che possono giustificare l’impossibilità di riuscire ad informare gli interessati e acquisirne il consenso, come previsto al punto 5.3 delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica. A tale riguardo, l’Azienda, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art 168 del Codice, ha rappresentato che l’impossibilità di acquisire il consenso è correlata a ragioni di tipo organizzativo, economico e di risorse, tenuto conto che trattasi di uno Studio no profit e che il tempo necessario a raccogliere il consenso degli interessati (circa 30.000) “potrebbe vanificare l’attualità della ricerca correlata al periodo pandemico, compromettendo il raggiungimento degli obiettivi dello Studio”.

Sotto altro profilo, in conformità alla disposizione di cui al secondo periodo del comma 1 dell’art. 110 del Codice, in base alla quale il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale, resta fermo che i Centri partecipanti potranno dare inizio ai trattamenti dei dati personali necessari per la realizzazione dello Studio solo dopo l’ottenimento dei pareri favorevoli dei rispettivi comitati etici territorialmente competenti, in quanto elemento della condizione di liceità del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (art. 110 del Codice; provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

3.2. I ruoli dei soggetti coinvolti nello Studio

Nella documentazione trasmessa, l’Azienda ha dichiarato che partecipano allo Studio, in qualità di Centri partecipanti, le Aziende sanitarie della Regione Emilia Romagna indicate nella documentazione in atti quali autonomi titolari del trattamento, ed è stato inoltre dichiarato che “Nella conduzione del progetto non viene affidato all’esterno alcun trattamento”.

A tale riguardo, si rileva che la struttura organizzativa implementata per la realizzazione dello Studio appare tale da escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dai pazienti arruolati nel richiamato Studio.

3.3 Ulteriori misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati allo Studio

In via generale, si prende favorevolmente atto delle misure intraprese dall’Azienda per garantire l’effettività del principio di trasparenza nei confronti degli interessati.

Con specifico riguardo alle modalità per fornire le informazioni agli interessati non contattabili, l’Azienda, visti i rilievi formulati dall’Ufficio nel corso dell’attività istruttoria, ha da ultimo trasmesso un nuovo documento denominato “INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI per lo studio retrospettivo “Effetti dell’infezione da SARS-CoV-2 sugli accessi al Pronto Soccorso e sui ricoveri della popolazione di età pediatrica e adolescenziale ”Ai sensi degli artt. 13-14 del Regolamento UE 2016/679” e dichiarato, quale misura appropriata per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, che essa verrà pubblicata sui siti web di tutti i centri partecipanti in conformità con quanto previsto dagli artt.  14, par. 5, lett. b) del Regolamento e 6, comma 3, delle Regole deontologiche

Tali informazioni sono rese in tale modalità in relazione alla circostanza che i dati sono ottenuti presso terzi e non direttamente dagli interessati (art. 14 del Regolamento).

3.4 Le misure di sicurezza implementate

L’Azienda, quale titolare del trattamento, come sopra richiamato e come richiesto dalla procedura prevista dagli artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello studio di cui trattasi. Da tale documento emerge che l’Azienda ha predisposto misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio. In particolare, nella VIP è rappresentato che, al fine di garantire il rispetto del principio di minimizzazione, sono trattati solo i dati necessari e pertinenti al perseguimento delle finalità della ricerca ossia quelli contenuti nelle “Schede di Dimissione Ospedaliera” e negli “Accessi di Pronto Soccorso delle Aziende Ospedaliere partecipanti”, acquisiti, in forma pseudonimizzata. L’Azienda ha previsto altresì misure tecniche e organizzative volte a ridurre i rischi ad un livello accettabile per non esporre gli interessati a minacce concrete di violazione dei propri diritti e libertà fondamentali connessi ai trattamenti di dati personali effettuati nell’ambito dello Studio. In particolare, l’Azienda dispone di politiche di sicurezza informatica; controllo accessi (log); antivirus / firewall; back – up dei dati; misure di crittografia dei dati contenuti nei server aziendali; policy di sicurezza dei documenti cartacei; policy di gestione dei data breach; istruzioni operative per le persone autorizzate; formazione e policy di tutela della privacy formalizzate e diffuse in documenti aziendali.

Nella valutazione d’impatto è stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli.

Da ultimo, in relazione alle modalità di comunicazione dei dati dai centri partecipanti al promotore, l’Azienda, tenuto conto che lo studio in esame si caratterizza per essere uno studio no profit realizzato in assenza di specifiche risorse economiche, ha rappresentato che al termine della raccolta dei dati acquisiti in forma pseudonimizzata, “l’archivio Excel sarà inviato al Promotore [tramite A/R] su supporto elettronico (CD-ROM)”, protetto da password, che sarà comunicata utilizzando un differente canale di comunicazione, al fine di proteggere i dati da accessi non autorizzati ovvero da rischi correlati allo smarrimento dei CD.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla Azienda Ospedaliero Universitaria di Parma, Via Gramsci 14 – 43126 Parma, Partita Iva/C.F.01874240342, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti arruolati nello studio no profit, multicentrico, osservazionale, retrospettivo, non farmacologico denominato “Effetti dell’infezione da SARS-CoV-2 sugli accessi al pronto soccorso e sui ricoveri della popolazione di età pediatrica e adolescenziale”.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei