[doc. web n. 9963509]

Provvedimento del 26 ottobre 2023

Registro dei provvedimenti
n. 499 del 26 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110, comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4 del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino, S.C. Otorinolaringoiatria con sede legale in Corso Bramante 88/90 – 10126 Torino (di seguito Azienda), per la realizzazione di uno studio retrospettivo, no-profit e monocentrico denominato “Tumori della testa e del collo: recidive e secondi tumori” (di seguito “Studio”) (nota del 18 maggio 2022, prot. n. 62304);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino, per la realizzazione dello studio multicentrico, osservazionale, retrospettivo, no-profit, non farmacologico dal titolo “Impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologico pre-trapianto di fegato” (di seguito Studio), promosso dalla S.S.D. (Strutture Semplici Dipartimentali) Insufficienza Epatica e Trapianto di Fegato dell’Azienda (nota del 5 giugno 2023);

RILEVATO che l’Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino, riveste in entrambi gli Studi il ruolo di promotore e di titolare del trattamento e che le principali operazioni di trattamento svolte per la realizzazione degli studi sono realizzate in un contesto analogo, attraverso il medesimo sistema informativo, applicando le medesime misure tecniche e organizzative e analoghe tecniche di pseudonimizzazione e anonimizzazione dei dati;

RILEVATO che l’Ufficio del Garante ha pertanto ritenuto di disporre la riunione dei procedimenti relativi alle richiamate istanze (nota del 30 agosto 2023, prot. n. 122540), prevedendo di conseguenza l’adozione del presente unico parere (art. 10, comma 4 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, del 4 aprile 2019, doc. web n. 9107633);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale, ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it , doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;  

PREMESSO

1. L’istanza di consultazione preventiva avanzata per la realizzazione dello Studio “Tumori della testa e del collo: recidive e secondi tumori”

L’Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino, S.C. Otorinolaringoiatria, con sede legale in Corso Bramante 88/90 – 10126 Torino (di seguito Azienda), ha presentato un’istanza di consultazione preventiva, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione di uno studio retrospettivo, no-profit e monocentrico denominato “Tumori della testa e del collo: recidive e secondi tumori” (nota del 18 maggio 2022, prot. n. 62304), atteso che esso comprende anche dati riferiti a soggetti deceduti, trasmettendo in atti il relativo protocollo, la valutazione di impatto (Vip), svolta ai sensi dell’art. 35 del Regolamento, le informazioni sul trattamento dei dati personali unitamente alla manifestazione del consenso e il parere del Comitato etico interaziendale, territorialmente competente, del 27 gennaio 2023 (nota del 18 maggio 2023, prot. 62304).

L’Ufficio del Garante ha avviato un approfondimento istruttorio in relazione all’istanza pervenuta con nota del 16 giugno 2023, prot. n. 94139.

Dalla documentazione in atti, così come acquisita e modificata in sede istruttoria, anche alla luce dei rilievi formulati dall’Ufficio, emerge che lo Studio si pone l’obiettivo primario di “valutare l’incidenza di recidive e secondi tumori sincroni o metacroni nei casi di neoplasia maligna della tesa e del collo e, come scopi secondari, la correlazione con i dati clinici, l’analisi delle strategie terapeutiche adottate in caso di recidiva o secondo tumore e l’analisi della sopravvivenza”.

Nel protocollo, nella illustrazione del razionale dello Studio, è indicato in particolare che “il follow up dopo trattamento chirurgico o chemioterapico per tumori della testa e del collo è fondamentale per identificare eventuali recidive o secondi tumori” [...]. La sopravvivenza globale a 5 anni non è aumentata e si attesta intorno al 40-50%. Sebbene le recidive locoregionali e a distanza contribuiscono ad una bassa sopravvivenza, lo sviluppo di secondi tumori rappresenta un fattore significativo. [...] In ambito oncologico cervico-cefalico, le recidive avvengono più frequentemente nei primi 2-3- anni dopo il trattamento, mentre i secondi tumori sono più spesso causa di morbilità e mortalità a lungo termine. In letteratura esistono pochi studi che analizzano il rapporto tra recidive, secondi tumori e metacroni e mortalità”.

Lo Studio, che avrà una durata di 2 anni, prevede l’arruolamento di tutti i soggetti maggiori di 18 anni affetti da tumore maligno della testa e del collo, non tiroideo, diagnosticato e operato presso S.C. Otorinolaringoiatria dell’Azienda, dal 2010 ad oggi, per un totale di circa 500-600 pazienti. Per ciascun paziente viene raccolto un identificativo personale univoco, sesso, età, “abitudine al fumo, assunzione di alcol” e l’”anamnesi patologica”.

I pazienti in vita verranno arruolati su base volontaria, in occasione delle visite ambulatoriali presso la S.C. Otorinolaringoiatria dell’Azienda, previa visione delle informative anche sul trattamento dei dati personali, per il quale viene acquisito un consenso autonomo e specifico.

Visto l’ampio periodo di osservazione dei dati dei pazienti da arruolare (a partire dal 2010) e l’incidenza di mortalità della patologia (sopravvivenza <50% a 5 anni), lo Studio non può non comprendere anche dati riferiti a soggetti deceduti, pena l’incompletezza e la scarsa rappresentatività del campione che inoltre pregiudicherebbe gravemente il conseguimento delle finalità dello stesso. Con riferimento a questa categoria di interessati si è resa necessaria pertanto la consultazione preventiva del Garante e l’informativa sul trattamento dei dati, ai sensi dell’art. 14, par. 5, lett. b) del Regolamento, che verrà fornita attraverso la sua pubblicazione sul sito internet istituzionale dell’Azienda.

Sul punto è ulteriormente precisato che, in considerazione della richiamata incidenza di mortalità della patologia, si prevede che “su un campione di circa 600 pazienti circa 400 siano deceduti, 60 siano non contattabili e 140 siano non deceduti e contattabili per il reclutamento”. [...] “Per le finalità dello studio i soggetti verranno considerati non contattabili dopo 5 tentativi telefonici in 5 giorni differenti della settimana e in orari differenti, utilizzando il numero di telefono cellulare rilasciato dal paziente e inserito nel sistema informatico aziendale [...] per motivi clinici. In considerazione dell’assenza di finanziamenti previsti per questa ricerca (che viene portata avanti da personale medico universitario e ospedaliero parallelamente all’attività clinica ed assistenziale) e del tempo necessario ad effettuare più di 5 tentativi telefonici a paziente (considerando necessari 3 minuti per ogni tentativo per 60 pazienti, saranno necessarie 15 ore), un numero superiore di tentativi rappresenterebbe uno sforzo sproporzionato. Per la verifica dello stato in vita, verrà effettuata attraverso la consultazione dei dati clinici in possesso dell’Azienda e con l’impiego di recapiti telefonici”. Nel protocollo è inoltre indicato che “tutti i pazienti partecipanti allo studio verranno identificati da un codice personale univoco [progressivo] in modo da rendere anonimi tutti i dati raccolti” e che “i dati risultanti nonché i dati clinici verranno conservati in un database costruito ad hoc per il presente studio, conservato nel rispetto della normativa in vigore in tema di trattamento dei dati personali”.

Al riguardo, nella Vip è indicato che “i dati verranno conservati per un massimo di 5 anni dalla chiusura dell’arruolamento , siccome l’arruolamento durerà 2 anni, i dati verranno conservati per un totale di 7 anni, in forma de-indentificata, mentre il database di backup che consente la corrispondenza tra codice e identificativo paziente- conservato separatamente-verrà trattato per il tempo necessario a concludere la raccolta dei dati, 2 anni, e immediatamente eliminato al fine di consentire la deidentificazione”.

L’Azienda ha ulteriormente chiarito che “il tempo di conservazione dei dati relativi allo studio [...], indicato in 7 anni complessivi, corrisponde alla sommatoria dei 2 anni di conservazione per il data base contenente il link di corrispondenza tra codice univoco e nominativo del paziente (tale periodo corrisponde al tempo di arruolamento dei pazienti, al termine del quale tale data base verrà eliminato) e degli ulteriori 5 anni per il solo data base informativo contenente i dati in forma de-identificata al fine di consentire il completamento dei calcoli di sopravvivenza e per il controllo della congruità dei dati raccolti”.

È stato ulteriormente precisato che “il fascicolo dello studio in cui è conservata la documentazione protocollata attinente allo studio (ad esempio: domanda iniziale del responsabile scientifico, approvazione rilasciata dal Comitato etico territorialmente competente) privo di dati personali riferiti ai pazienti, sarà conservato per anni 5 dalla conclusione dello studio presso l’Archivio centrale aziendale [...] e successivamente smaltito”.

Con riguardo all’anonimizzazione dei dati è stato rappresentato nella vip che “dopo avere effettuato le operazioni di deidentificazione, l’anonimzzazione dei dati sarà ottenuta attraverso molteplici metodologie finalizzate a minimizzare il rischio di reidentificazione dei soggetti coinvolti nello studio. In particolare, le misure previste sono, nell’ordine di applicazione:

- sul database informativo pseudoanonimi:

- inserimento nel data base pseudoanonimo delle variabili categoriali in forma numerica: solo gli sperimentatori conosceranno la corrispondenza tra numero e significato (masking);

- aggiunta di 3 data base con dati di sintesi al database contenente i dati reali. I database di sintesi saranno ottenuti con la tecnica de variational autoencoders, avranno dimensione identiche al database originario e saranno concatenati lungo l’asso orizzontale al data base originario. In tal modo un potenziale aggressore che ottenga i dati, con maggiore difficoltà potrà acquisire nuove informazioni certe sui soggetti coinvolti avendo per ogni variabile 4 possibili scelte. Soltanto gli sperimentatori del centro promotore e titolare saranno a conoscenza di quali colonne contegno i dati reali per consentire il denosingin del database

- il nome delle colonne sarà eliminato

- a ciascuna colonna sarà sommato un numero intero causale tra 2 e 4 (noise addition). Soltanto gli sperimentatori del centro promotore e titolare dei dati conosceranno la sequenza di numeri interi sommata al data base (per consentire il denoising)”.

A tale proposito è stato ulteriormente chiarito che “Tali tecniche di minimizzazione/pseudonimizzazione, che consentono, seppur esclusivamente ai soggetti legittimati, di risalire alla semantica delle colonne oggetto di mascheramento, verranno implementate, dopo 7 anni, da tecniche di anonimizzazione, come descritte nel seguito:

- le classi di equivalenza verranno ridefinite al fine di garantire una numerosità minima per ciascuna di esse, nel dataset oggetto di pubblicazione.

-  in considerazione del numero di variabili oggetto di aggregazione, il numero di statistiche aggregate da rendere riconoscibili al fine di scongiurare il rischio di ricostruzione dei dati riferibili a singoli sarà significativamente inferiore rispetto al numero delle variabili considerate

- verrà rimossa ogni singolarità, qualora, con qualsiasi mezzo, se ne venga a conoscenza in una fase successiva all’applicazione delle tecniche di anonimizzazione e verrà tenuta traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento dell’1% di singolarità individuate sul totale di record inclusi nel dataset.

Il numero delle statistiche oggetto di diffusione sarà significativamente inferiore rispetto al numero delle variabili che si intenderanno divulgare”

In relazione alla sicurezza dei dati trattati, la Vip specifica, che “le operazioni di raccolta, registrazione, conservazione e modificazione dei dati personali avverranno attraverso strumenti manuali (cartelle cliniche) e informatici (sistema informatico Trakcare utilizzato presso la S.C. Otorinolaringoiatria U, A.O.U. Città della Salute e della Scienza di Torino) con logiche strettamente correlate alle finalità sopra indicate” e inoltre che “l’hard disk contenente il data base anagrafico (identificativo-codice) verrà crittografato, protetto da password e conservato in armadio protetto da chiave in una stanza chiusa a chiave [...]”;

La Vip prosegue indicando specifiche misure di sicurezza e organizzative nonché misure volte ad assicurare la minimizzazione dei dati trattati. In particolare, la Vip indica che “le operazioni di raccolta, registrazione, conservazione e modificazione dei dati personali avverranno attraverso strumenti manuali (cartelle cliniche) e informatici (sistema informatico di Trackcare utilizzato presso la s.c. S.C. Otorinolaringoiatria” dell’Azienda.

L’Azienda ha trasmesso in atti un testo di informativa sul trattamento dei dati personali aggiornato alla luce dei rilievi formulati dall’Ufficio, con particolare riferimento alla corretta indicazione dei diritti spettanti agli interessati e ai tempi di conservazione.

2. L’istanza di consultazione preventiva avanzata per la realizzazione dello Studio “Impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologico pre-trapianto di fegato”

Con nota del 5 giugno 2023 (prot. n. 98987), l’Azienda ha presentato un’altra istanza di consultazione preventiva, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione dello studio multicentrico, osservazionale, retrospettivo, no-profit, non farmacologico dal titolo “impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologico pre-trapianto di fegato”,  trasmettendo in atti il protocollo dello Studio, la valutazione di impatto (Vip),  integrata con il parere del Responsabile per la protezione dei dati, l’informativa per il trattamento dei dati personali e i pareri rilasciati dal competente comitato etico interaziendale (pareri del 07/11/2022 e 26/04/2023).

Anche in relazione a tale istanza l’Ufficio del Garante ha avviato un approfondimento istruttorio (nota del 26 giugno 2023, prot. n. 98987).

Dalla documentazione in atti, così come acquisita, modificata e integrata in sede istruttoria, anche alla luce dei rilievi formulati dall’Ufficio, emerge che obiettivo dello Studio è quello di “valutare l’impiego delle tecniche diagnostiche cardiologiche invasive [...] nell’iter diagnostico-terapeutico del paziente cirrotico in valutazione per trapianto di fegato, con il fine del miglioramento della partica clinica corrente”.

Lo Studio -che in base al più recente emendamento sostanziale (“presentato in data 18 magio 2023 ed approvato dal Comitato Etico Interaziendale con nota prot. n. 0069506 del 06/06/2023”) coinvolge 20 centri partecipanti- ha una durata di 6 mesi, prevede l’arruolamento di pazienti (in vita e contattabili o deceduti) di età uguale o maggiore ai 18 anni affetti da cirrosi epatica sottoposti e coronografia nel corso della valutazione pre-trapianto di fegato.

A tale riguardo è stato chiarito che “ogni centro trapianti ha l’elenco dei pazienti in bilancio/trapiantati presso il proprio centro e ne conosce l’outcome vivo o morto. La percentuale attesa di mortalità del paziente in lista trapianto è intorno al 6% e post trapianto varia a seconda dei centri trapiantati (sopravvivenza 1aa del paziente trapiantato variabile tra 88 e 95 e a 5 anni variabile tra il 69% e l’87%, Torino 95% a 1 anno e 87% a 5 anni).

Il periodo di arruolamento va dal 1° gennaio 2018 al 30 giugno 2022 e prevede la raccolta, oltre che di dati anagrafici, di dati sulla salute inerenti alla patologia e al trattamento sanitario dei pazienti.

Il protocollo descrive, infine, puntualmente le metodologie statistico-matematiche che verranno applicate per il confronto tra i differenti gruppi di pazienti all’uopo costituiti e per testare i “predittori” di eventi negli intervalli di tempo considerati, specificando, altresì, che a tale fine verrà utilizzato uno specifico software R (R Core team 2020).
Ulteriori elementi rispetto al trattamento dei dati necessari per la realizzazione dello Studio si apprendono dalla Vip nella quale è indicato, in particolare, che esso nel suo complesso coinvolge circa 150 pazienti.

La base giuridica dei trattamenti è stata indicata nel consenso dei pazienti in vita e contattabili, ai sensi dell’art. 9, par. 1, lett. a) del Regolamento, e nell’istanza di consultazione preventiva in esame, ai sensi dell’art. 110 del Codice, per quelli che risultano deceduti. Al riguardo, è stato precisato che non è possibile fare a meno dei dati riferiti a tali ultimi pazienti, in quanto si determinerebbero significative conseguenze per lo Studio in termini di alterazione dei relativi risultati.

Secondo quanto puntualmente indicato nella documentazione in atti, per la pseudonimizzazione e anonimizzazione dei dati raccolti per la realizzazione dello Studio, verranno applicate le medesime misure previste per i dati trattati nell’ambito dello Studio “Tumori della testa e del collo: recidive e secondi tumori”, sopra richiamate (cfr. paragrafo 1).

In relazione alla durata del trattamento è indicato che “i dati saranno conservati solo per il tempo [...] necessario al perseguimento delle finalità dello studio per cui sono stati raccolti e trattati, fatto salvo il maggior tempo necessario per adempiere a obblighi di conservazione cui il titolare è tenuto in ragione della natura del dato o del documento o per motivi di interesse pubblico o in esecuzione di specifici obblighi di legge [...]. In particolare, i dati ed il data base di back up- conservato separatamente- verranno conservati per un massimo di 7 anni a partire dalla data di inizio studio, in forma pseudonimizzata”. Una dicitura analoga è riportata nell’informativa predisposta per gli interessati.

A tale riguardo, in sede istruttoria è stato precisato ulteriormente che “il data base anagrafico verrà conservato solo per il tempo necessario a concludere la verifica dei dati (tre anni) e successivamente verrà eliminato come ulteriore misura di sicurezza- Presso l’A.O.U., così come in ogni centro partecipante il data base contenente i dati pseudonimizzati (informativo) dei pazienti afferenti la singola struttura sarà conservato per il tempo necessario a completare l’analisi e garantire il controllo di replicabilità dei risultati ottenuti (4 anni)” [...]. Lo sperimentatore principale al riguardo ha chiarito che “i primi 3 anni saranno necessari per arruolare i pazienti e raccogliere dati. I successivi 4 anni saranno dedicati alla valutazione della congruità dei dati raccolti dai vari trapianti e all’aggiornamento del follow-up trapianto”. Nella Vip è poi indicato che al termine di tale periodo i dati verranno “anonimizzati”.

Sotto altro profilo, la Vip riporta che “Il fascicolo dello studio in cui è conservata la documentazione protocollata attinente allo studio (ad esempio: domanda iniziale da parte del responsabile scientifico, approvazione rilasciata dal Comitato Etico territorialmente competente), privo di dati personali riferiti ai pazienti, sarà conservato per 5 anni dalla conclusione dello studio presso gli archivi aziendali e successivamente smaltito”.

Nella Vip è indicato poi che le operazioni di trattamento sono svolte sia con strumenti manuali che informatici da personale istruito e autorizzato “con logiche strettamente correlate alle finalità sopra indicate”.

Il documento, in particolare, rappresenta che “I dati identificativi del soggetto arruolato verranno sottoposti a pseudonimizzazione con codice univoco generato casualmente (database informativo), i dati dello studio verranno raccolti in un database protetto da password e memorizzato in un PC. Contemporaneamente verrà creato un ulteriore foglio di calcolo anagrafico (database anagrafico) che conterrà la corrispondenza tra codice univoco e dati identificativi del soggetto, che verrà protetto da password, cifrato e conservato in un hard disk esterno rispetto al PC contenente il database pseudonimizzato e conservato in armadio chiuso allocato presso ogni centro titolare dei dati. Ogni centro userà quindi le medesime modalità di raccolta e conservazione dei dati. [...] Al termine della raccolta, i dati pseudonimizzati verranno inviati dai Centri Partecipanti al Promotore con mail cifrata”.

Sul punto nella Vip è ulteriormente indicato che “Il fornitore del sistema informativo, con il quale viene svolta quotidianamente l'attività clinica per tutte le specialità aziendali, per quanto concerne l'Azienda Promotrice, HIS TrakCare, InterSystem, ed è nominato Responsabile esterno del trattamento” e che “la server farm aziendale pone in essere un insieme di misure fisiche/infrastrutturali e informatiche che rendono trascurabile la possibilità di intromissione a soggetti non autorizzati o la possibilità di guasti che portino alla perdita o compromissione dell’integrità delle informazioni in essa memorizzate”.

In relazione al principio di trasparenza, è stato previsto per i pazienti deceduti, a beneficio degli aventi causa, ex art. 2-terdecies del Codice, che l’informativa sul trattamento dei dati personali verrà pubblicata sul sito aziendale ai sensi dell’art. 14 del Regolamento.

La Vip prosegue con l’indicazione delle ulteriori misure tecniche e organizzative implementate non solo per dare effettiva applicazione ai principi in materia di protezione dei dati personali, per assicurare la sicurezza dei dati trattati ma anche per garantire in termini generali che i rischi correlati ai trattamenti necessari per la realizzazione dello Studio siano ridotti ad un livello accettabile.

3. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni nonché delle Regole deontologiche che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto non è necessario “[...] quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento);

L’art. 89, par. 1 del Regolamento dispone, in particolare, che “Il trattamento a fini [...] di ricerca scientifica è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo [...]”.

I dati personali devono essere trattati nel rispetto dei principi applicabili al trattamento stabiliti all’art. 5 del Regolamento, tra i quali merita in questa sede evidenziarsi quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento). Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In base al Regolamento “quando un tipo di trattamento prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” [...]  “Il titolare, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati, a norma dell'articolo 35 del Regolamento, indichi che il trattamento presenta un rischio elevato in assenza di misure adottate dal titolare per attenuare il rischio”. La consultazione preventiva del Garante è comunque necessaria se prevista da una specifica base normativa (artt. 35 e 36 del Regolamento e Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248rev.01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017).

La Vip deve contenere, oltre ad una descrizione sistematica dei trattamenti e delle finalità del trattamento, una valutazione dei rischi per i diritti e le libertà degli interessati e delle misure conseguentemente previste per affrontare tali rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento (Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679, cit.).

Le misure individuate dal titolare devono essere volte all’effettiva applicazione dei principi di protezione dei dati personali, ponendo i titolari del trattamento nella condizione di comprovare l’idoneità delle stesse, tenuto anche conto degli specifici rischi connessi, nel caso specifico, al trattamento dei dati (cfr. anche linee guida per la protezione della vita privata dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) adottati nel 1980).

In base al rinnovato quadro normativo in materia di protezione dei dati personali, sulla base del richiamato principio di responsabilizzazione e dell’obbligo di protezione dei dati sin dalla progettazione, si richiede al titolare una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

La valutazione di impatto costituisce la sede principale nell’ambito della quale svolgere tali valutazioni e rappresentare le misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo. Tali misure devono essere periodicamente verificate e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati (provv. del 30 giugno 2020, doc. web n. 9357972 e del 30 luglio 2022 doc. web n. 9808839).

I dati devono essere trattati anche nel rispetto di principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento). In relazione ai correlati obblighi informativi, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai paragrafi da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità (…)”, indicando delle specifiche modalità a titolo esemplificativo.

Va osservato poi il principio di limitazione della conservazione in base al quale i dati devono essere conservati solo per il tempo necessario al perseguimento degli scopi della raccolta o se del caso definito in base a obblighi normativi (art. 5, par. 1 lett. e) del Regolamento).

Per specifiche esigenze di trasparenza e allocazione delle responsabilità derivanti dalla normativa di settore, nell’ambito delle operazioni di trattamento dei dati personali occorre individuare correttamente i ruoli di titolare, contitolare (artt. 4, n. 7, 24 e 26) e, se del caso, di responsabile (art. 4, n. 8 e 28).

4. Le valutazioni dell’Autorità

4.1. Valutazioni in ordine al trattamento di dati personali necessari per la realizzazione studio “Tumori della testa e del collo: recidive e secondi tumori”

Il Garante ritiene che l’Azienda abbia correttamente individuato le basi giuridiche per il trattamento dei dati necessari per il perseguimento degli obiettivi dello Studio, specificando adeguatamente i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso, nonostante gli sforzi proporzionati e ragionevoli che si intendono a tal fine impiegare, secondo quanto previsto dal punto 5.3 delle Prescrizioni. Ciò è determinato dal fatto che lo Studio prevede un periodo molto ampio di osservazione dei dati dei pazienti (a partire dal 2010) e riguarda malattie oncologiche per le quali l’incidenza di mortalità è molto alta (sopravvivenza <50% a 5 anni). Pertanto su un campione di 600 pazienti circa 400 sono deceduti e 60 risultano non contattabili, dopo aver effettuato 5 tentativi di contatto ritenuti proporzionati rispetto all’impiego di risorse economiche per la realizzazione di uno studio no profit quale quello in esame. Nel caso di specie, la mancata inclusione nel campione dei pazienti deceduti e non contattabili produrrebbe conseguenze significative in termini di alterazione dei relativi risultati.

Lo Studio ha ottenuto il parere favorevole del competente comitato etico a livello territoriale, elemento che si configura quale condizione di liceità e correttezza del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr. provv. del 29 ottobre 2020, doc. web 9517401 e provv. del 1° novembre 2021, doc. web 9731827).

Si ritiene, inoltre, che l’Azienda, tenuto conto che trattasi di Studio monocentrico, abbia individuato una misura efficace per l’adempimento degli obblighi di trasparenza correlati ai trattamenti in esame, prevedendo la pubblicazione dell’informativa sul proprio sito internet (ai sensi degli artt. 5, par. 2, lett. a) 14 del Regolamento e 6, comma 3 delle Regole deontologiche).

Cionodimeno, nel prendersi favorevolmente atto delle modifiche apportate al testo dell’informativa nel corso dell’istruttoria, si rileva che non emerge esplicitamente dalla documentazione in atti che l’Azienda abbia previsto che la disponibilità della stessa sul proprio sito internet istituzionale sia garantita per tutta la durata dello Studio.

Il Garante ritiene quindi necessario che l’Azienda assicuri che l’informativa sul trattamento dei dati personali in relazione allo Studio, predisposta ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche, sia disponibile sul proprio sito internet per tutta la durata del trattamento.

L’Autorità ritiene, inoltre, che l’Azienda, nello Studio presentato, abbia dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di efficaci tecniche di minimizzazione durante tutta la fase del trattamento, descritte puntualmente nella valutazione d’impatto e prende favorevolmente atto delle misure indicate per la pseudonimizzazione e anonimizzazione dei dati, che verrà disposta dall’Azienda al termine del periodo di conservazione dei dati indicato in 5 anni a decorrere dalla conclusione della fase di arruolamento dei pazienti indicata in due anni. Tali misure tengono conto delle indicazioni fornite dal Garante nei precedenti pareri formulati su istanze di consultazione preventiva avanzate ai sensi dell’art. 110 del Codice e 36 del Regolamento e in particolare del provvedimento del 2 marzo 2023 doc. web. n. 9875254 adottato nei confronti dell’Azienda (cfr. anche provv. del 1° giugno 2023 doc. web n. 9913795).

Più precisamente, con riferimento ai predetti tempi di conservazione, il Garante ritiene che gli stessi siano proporzionati in ragione delle motivazioni tecnico scientifiche rappresentate dall’Aziende. Infatti, i primi 2 anni si rendono necessari per l’arruolamento dei pazienti e per la raccolta dei dati; i successivi cinque sono necessari in particolare al controllo della congruità dei dati raccolti.

4.2. Valutazioni in ordine al trattamento dei dati personali necessari per la realizzazione dello Studio “Impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologico pre-trapianto di fegato”

L’Azienda in qualità di promotore dello Studio e di titolare del trattamento ha correttamente individuato le basi giuridiche del trattamento dei dati personali necessari per la realizzazione dello studio multicentrico, osservazionale, retrospettivo, no-profit, non farmacologico relativo all’“Impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologico pre-trapianto di fegato”, specificando adeguatamente i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso secondo quanto previsto dal punto 5.3 delle Prescrizioni, attesa l’elevata incidenza di mortalità dei pazienti che si intendono arruolare, come rappresentata dai singoli centri partecipanti. Nel caso di specie, la mancata inclusione nel campione dei pazienti deceduti produrrebbe conseguenze significative in termini di alterazione dei relativi risultati.

Si osserva, inoltre, che lo Studio ha ottenuto il parere favorevole del competente comitato etico a livello territoriale, elemento che si configura quale condizione di liceità e correttezza del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr.  provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

Sotto altro profilo, il Garante ritiene che l’Azienda, prevedendo la pubblicazione dell’informativa sul proprio sito internet e su quello dei Centri partecipanti abbia individuato una misura efficace per l’adempimento dell’obbligo di trasparenza correlato ai trattamenti in esame (ai sensi degli artt. 5, par. 2, lett. a) e 14 del Regolamento e 6, comma 3 delle Regole deontologiche), (cfr. provv, del 1° novembre 2021, doc. web n. 9731827 e del 2 marzo 2023 doc. web n. 9875254).

Il Garante, inoltre, ritiene necessario che l’Azienda assicuri che l’informativa sul trattamento dei dati personali, predisposta ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche, in relazione allo studio in esame, sia disponibile sul proprio sito internet e su quelli dei centri partecipanti per tutta la durata del trattamento.

Si rileva, inoltre che dalla documentazione in atti non emerge il ruolo di protezione dei dati personali di titolare, contitolare o responsabile del trattamento, ai sensi degli artt. 24, 26 e 28 del Regolamento, attribuito a ciascuno dei venti centri partecipanti.

Si ritiene quindi necessario che l’Azienda integri le informative e la valutazione di impatto relative allo studio in esame specificando il ruolo di protezione dei dati personali di titolare, contitolare o responsabile del trattamento, ai sensi degli artt. 24, 26 e 28 del Regolamento, attribuito ai venti centri partecipanti.

In termini generali l’Azienda, nello Studio presentato, ha dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di efficaci tecniche di minimizzazione durante tutta la fase del trattamento, descritte puntualmente nella valutazione d’impatto. Valgono a tale riguardo le osservazioni già sopra formulate in relazione allo studio “Tumori della testa e del collo: recidive e secondi tumori” sulle misure indicate per la pseudonimizzazione e anonimizzazione dei dati.

Con specifico riferimento ai tempi di conservazione, il Garante ritiene che gli stessi siano proporzionati in ragione delle motivazioni tecnico scientifiche rappresentate dall’Aziende. Infatti, i primi tre anni si rendono necessari per l’arruolamento dei pazienti e per la raccolta dei dati; i successivi quattro sono dedicati a valutare la congruità dei dati e all’analisi degli stessi al fine di perseguire gli obiettivi dello Studio.

4.2.1. Sulla valutazione d’impatto

Con riferimento alla valutazione di impatto si osserva preliminarmente che il Regolamento, sulla base di un approccio sostanzialistico, offre ai titolari del trattamento la flessibilità di stabilire la struttura e la forma della stessa affinché essa si adatti alle prassi di lavoro esistenti nelle diverse organizzazioni, siano esse pubbliche o private, fermo restando che essa contenga una vera e propria valutazione dei rischi che consenta di adottare adeguate ed efficaci misure per affrontarli, secondo quanto indicato nelle richiamate linee guida del Gruppo art. 29 del 4 aprile 2017. Si richiede, quindi che la valutazione di impatto non si limiti a dichiarazioni assertive, dovendo riportare considerazioni specifiche corroborate da argomentazioni in ordine all’efficacia, in termini qualitativi o quantitativi, delle misure adottate rispetto allo scenario considerato, anche in base alla probabilità e gravità del rischio considerato.

Il Garante ritiene pertanto opportuno sottolineare l’importanza che la valutazione di impatto sia predisposta secondo quanto indicato all’art. 35 del Regolamento e sulla base delle indicazioni rese dal Gruppo articolo 29 nelle citate linee guida del 4 ottobre 2017, attraverso l’analisi e la ponderazione degli specifici rischi connessi ai trattamenti, delle misure implementate per mitigarli e delle azioni intraprese per assicurare l’effettiva applicazione dei principi in materia di protezione dati personali.

Tanto premesso, in relazione alla Vip presentata dall’Azienda sullo Studio “Impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologico pre-trapianto di fegato”, si rileva che i rischi considerati (accesso illegittimo ai dati, modifiche indesiderate e perdita degli stessi) sono tutti affrontati con l’implementazione delle medesime misure, corrispondenti a quelle -tecniche e organizzative- in generale implementate per l’applicazione del Regolamento e riconducibili a: “Pseudonimizzazione, partizionamento, archiviazione, gestione postazioni, videosorveglianza, bach up, sicurezza dell’hardware e della rete aziendale, infrastrutture della server farm protetta (trakcare), utenze e policy di scelta delle password aziendali, minimizzazione dei dati, lotta contro il malware, vigilanza sulla protezione dei dati, accesso fisico ai locali con sistemi protezione, sistemi antincendio”.

Ciò comporta che, attraverso l’indicazione indistinta e non sufficientemente motivata dello stesso insieme di misure rispetto ai diversi rischi rilevati, senza prevedere quindi specifiche misure adeguate e modellate su ciascun rischio considerato, tali misure così applicate risultino inadeguate e non pertinenti rispetto allo scopo di prevenzione desiderato.

A tale riguardo si segnala, ad esempio, che la Vip dispone la misura della minimizzazione dei dati come misura idonea a prevenirne la perdita di dati personali e indica il sistema anti-incendio quale misura per ridurre il rischio della modifica indesiderata dei dati personali.

Il Garante ritiene pertanto necessario che l’Azienda integri la valutazione d’impatto del predetto Studio, individuando, in relazione allo scenario di rischio considerato, misure adeguate indicandone l’efficacia, anche in base alla probabilità e gravità dello scenario stesso.

TUTTO CIO’ PREMESSO IL GARANTE

1. ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla Azienda Ospedaliero Universitaria A.O.U. Citta della Salute e della Scienza di Torino, con Sede legale in Corso Bramante, 88 - 10126 Torino, Cod. fiscale - P. IVA: 10771180014, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti deceduti o non contattabili arruolati nello studio retrospettivo, no-profit, monocentrico denominato “Tumori della testa e del collo: recidive e secondi tumori” a condizione che:

a) assicuri che l’informativa sul trattamento dei dati personali predisposta ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche sia disponibile sul proprio sito internet per tutta la durata del trattamento (cfr. punto 4.1.);

2. ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime alla Azienda Ospedaliero Universitaria A.O.U. Citta della Salute e della Scienza di Torino, con Sede legale in Corso Bramante, 88 - 10126 Torino , Cod. fiscale - P. IVA: 10771180014, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti deceduti o non contattabili arruolati nello studio retrospettivo "Impiego della coronografia e del cateterismo cardiaco destro nel work-up cardiologo pre-trapianto di fegato”, a condizione che:

a) l’informativa sul trattamento dei dati personali, predisposta ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6, comma 3 delle Regole deontologiche sia disponibile sul proprio sito internet e su quelli dei centri partecipanti per tutta la durata del trattamento (cfr. punto 4.2);

b) integri le informative e la valutazione di impatto relative allo studio in esame specificando il ruolo di protezione dei dati personali di titolare, contitolare o responsabile del trattamento, ai sensi degli artt. 24, 26 e 28 del Regolamento, attribuito ai venti centri partecipanti (cfr. punto 4.2);

c) integri la valutazione d’impatto individuando, in relazione allo scenario di rischio considerato, misure adeguate indicandone l’efficacia anche in base alla probabilità e gravità dello stesso (cfr. punto 4.2.1).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 26 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei