(Garante per la protezione dei dati personali, Autorizzazione 16 settembre 2010, n.1753153: studio epidemiologico su pazienti oncologici senza consenso informato)
Con un interessante provvedimento il Garante privacy ha autorizzato una casa farmaceutica, un'azienda ospedaliera e altri centri di cura a trattare i dati idonei a rivelare lo stato di salute delle pazienti incluse nello studio clinico osservazionale "Venere", finalizzato alla valutazione dei cambiamenti nel trattamento chemioterapico di prima linea nella normale pratica clinica di pazienti con tumore metastatico della mammella, anche in assenza del loro consenso informato, limitatamente ai dati e alle operazioni strettamente indispensabili e pertinenti per la conduzione dello studio e nel rispetto delle prescrizioni indicate in ordine alle misure di sicurezza; fermo restando l’obbligo di raccogliere il consenso informato al trattamento dei dati delle pazienti risultate ancora in vita e reperibili a seguito delle verifiche da parte del personale medico dei centri di cura partecipanti previste nella fase dell’arruolamento dello studio.
Nel caso di specie, il Garante ha preso atto che:
- lo studio prevede altresì che, alla sua conclusione, i dati raccolti siano trasformati in forma anonima;
- i dati saranno trattati soltanto dal promotore e dai centri partecipanti allo studio, titolari del trattamento, avvalendosi di soggetti specificatamente preposti al trattamento, in quanto designati quali incaricati o responsabili (monitor, comitati di esperti, organizzazione di ricerca a contratto);
- lo studio non prevede che i dati personali delle pazienti interessate siano in alcun modo diffusi o comunicati a soggetti diversi dal promotore, dai centri di cura partecipanti, dall’organizzazione di ricerca a contratto, designata dal promotore quale responsabile del trattamento, e dai rispettivi incaricati del trattamento;
- lo studio avrà una durata temporanea complessiva di circa cinque anni.
Il Garante ha rilevato che "non risultano sufficientemente dettagliate in atti le misure di sicurezza adottate con riguardo sia alla fase della raccolta e memorizzazione dei dati dello studio presso i centri di cura partecipanti, sia alla fase di successiva elaborazione e archiviazione delle informazioni medesime da parte della predetta organizzazione di ricerca a contratto, nonché nella successiva fase di trasmissione dei dati al promotore" e pertanto ritiene "necessario adottare idonei accorgimenti, avvalendosi a tal fine anche di tecnologie crittografiche, al fine di garantire, nelle operazioni di registrazione dei dati dello studio effettuate mediante strumenti elettronici, la loro protezione dai rischi di accesso non autorizzato o di trattamento non consentito. Tali accorgimenti dovranno essere adottati anche nella fase di trasmissione dei dati dello studio al promotore mediante supporto ottico (CD-ROM), prevedendo altresì la designazione di un incaricato della ricezione presso il promotore. Inoltre, con riferimento al database centralizzato, su cui si prevede di archiviare i medesimi dati, dovranno essere previsti sistemi di audit log in grado di garantire l'inalterabilità degli stessi log, al fine di assicurare il controllo degli accessi al database e il rilevamento di eventuali anomalie".
(Da www.filodiritto.com)