[doc. web n. 9842737]

Provvedimento del 24 novembre 2022

Registro dei provvedimenti
n. 402 del 24 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4 del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati genetici e le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegati 4 e 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Istituto Fondazione di Oncologia Molecolare ETS- IFOM, per la realizzazione dello “studio clinico osservazionale retrospettivo multicentrico dal titolo “A Master Protocol Empowering Mechanobiology Translational Research in Breast Cancer (METAMECH)” (nota del 12 luglio 2021);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it , doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

L’Istituto Fondazione di Oncologia Molecolare ETS – IFOM (di seguito “Istituto”, “IFOM” o “Fondazione”) ha presentato un’istanza di consultazione preventiva, ai sensi degli artt. 110 del Codice e 36 del Regolamento, per la realizzazione di uno studio clinico osservazionale retrospettivo multicentrico denominato  “A Master Protocol Empowering Mechanobiology Translational Research in Breast Cancer (METAMECH)” (di seguito lo “Studio”) da condurre presso sette istituzioni (Centri), in ragione del fatto che esso prevede anche “[...] il trattamento di dati relativi allo stato di salute nonché [...] [di] dati genetici di persone decedute o comunque non contattabili ai sensi del Regolamento. Tale trattamento avviene attraverso l’analisi di campioni di tessuto archiviati presso i CENTRI, e, pertanto risulta essere impossibile richiedere un consenso esplicito agli interessati ai sensi dell’art. 9, par.2, lett. a) del Regolamento” (nota del 12 luglio 2021)

In particolare, lo Studio, che ha l’obiettivo di arruolare almeno 500 pazienti affetti da tumore alla mammella, è volto a “costruire una fonte di campioni biologici clinicamente registrati al fine di alimentare i laboratori del consorzio METAMECH per l’implementazione della ricerca traslazionale di precisione nei tumori al seno”. Per la realizzazione di tale scopo è stato istituito un consorzio, anch’esso denominato METAMECH, il cui “Consortium agreement” è stato trasmesso in atti. Il consorzio è “finanziato dalla Fondazione AIRC Ricerca sul Cancro nell’ambito del programma speciale 5x1000. Nell’ambito del progetto METAMECH, ogni parte del consorzio è stata appositamente nominata responsabile del trattamento in quanto, (...), i laboratori delle parti del consorzio potranno effettuare analisi dei campioni ricevuti dai CENTRI per conto di IFOM e sempre nell’ambito del progetto di ricerca METAMECH”.

Nell’istanza trasmessa è stato ulteriormente precisato che “il progetto che IFOM vuole condurre è stato disegnato con una struttura flessibile organizzata in quattro differenti livelli [di indagine], cd. Tier, che si distinguono in due sezioni: una retrospettiva (Livello 0) ed una prospettica (Livello 1, 2 e 3).

Con riferimento a tale istanza, l’Ufficio ha rilevato, con nota del 20 luglio 2021 prot. n. 38086, talune criticità in relazione alla disciplina sulla protezione dei dati personali, sollecitando un incontro, a seguito del quale, con nota del 21 ottobre 2021, IFOM ha fatto pervenire ulteriori integrazioni e, con successiva nota del 24 febbraio 2022, una comunicazione a cura della società Avvera S.r.l., medio tempore nominata responsabile della protezione dati, con cui “portava a conoscenza dell’Illustrissima Autorità l’intenzione di IFOM di avviare il processo di trattamento di cui alla consultazione preventiva e si dichiarava a completa disposizione per fornire ogni elemento opportuno sul trattamento, operando in piena applicazione dei compiti che la normativa le attribuisce di collaborazione con l’autorità di controllo”.

Tenuto conto della natura particolarmente innovativa dello Studio che, invocando una visione olistica della patologia del tumore alla mammella, si caratterizza per un approccio multidisciplinare e coinvolge n. 7 strutture ospedaliere di eccellenza e gruppi di ricerca al fine di promuovere la ricerca cd “traslazionale”, l’Ufficio ha ritenuto necessario formulare un supplemento istruttorio dal quale sono emerse con maggiore chiarezza le caratteristiche dello Studio, il ruolo dell’omonimo consorzio e i trattamenti di dati personali necessari per la relizzazione dello stesso (nota del 7 luglio 2022).

Con riferimento al rapporto tra il consorzio METAMECH e l’omonimo progetto, IFOM ha chiarito che la denominazione del consorzio non prevede un collegamento allo Studio in esame perché “METAMECH” è anche l’abbreviazione del titolo del progetto finanziato da AIRC, ovvero “Metastasis as mechanodisease”.

Ciascun obiettivo del consorzio avrà un promotore (non necessariamente IFOM) ed una specifica e autonoma valutazione dei presupposti di liceità del trattamento dei dati a tali fini necessari.
IFOM ha chiarito poi che l’istanza di consultazione preventiva riguarda esclusivamente il livello di indagine 0 (tier 0), consistente in una raccolta di dati retrospettiva che coinvolge anche pazienti deceduti ovvero non contattabili. Più nello specifico è stato chiarito che:

• “METAMECH è uno studio finalizzato ad indagare i principi della meccanobiologia nell’ambito di un progetto di oncologia di precisione nel tumore della mammella. L’oncologia di precisione è lo studio che mira a definire la terapia più adeguata sfruttando le informazioni che caratterizzano il tumore e il microambiente tumorale in relazione allo specifico paziente. La meccanobiologia è lo studio delle forze fisiche e dei cambiamenti nelle proprietà meccaniche delle cellule tumorali e del loro microambiente che influiscono sul comportamento delle stesse. Per la buona riuscita dello studio è essenziale studiare tre elementi tra loro collegati direttamente, in particolare: il tumore, il suo microambiente e il paziente specifico che ha sviluppato il tumore. Il protocollo [...], rappresenta [...] come l’obiettivo dello studio sia “identificare e validare nuovi biomarcatori prognostici e/o predittivi in pazienti affetti da tumore al seno” [...]”;

• “Il protocollo definisce METAMECH come:

- ricerca clinica e translazionale, cioè una ricerca mirata a trovare nuove strategie diagnostiche e individuare nuove vulnerabilità terapeutiche;

- master observational, in quanto prevede la raccolta di dati clinici e campioni biologici correlati riferiti a pazienti affetti da tumore al seno che non si concentra a priori su uno specifico tipo di tumore (ovvero un tumore classificato per sottotipi istologici e stati), ma riclassifica i pazienti in ragione delle valutazioni sulla meccanobiologia;

-  studio osservazionale (per quanto alla parte di METAMECH prevista nell’ambito del cosiddetto tier 0 e 1), in quanto ha come fine la raccolta di dati clinici e campioni biologici derivanti dalla normale pratica clinica;

- studio retrospettivo (per quanto alla parte di METAMECH prevista nell’ambito del cosiddetto tier 0), ovvero che mira a “recuperare campioni di tumori al seno d’archivio retrospettivi annotati clinicamente per validare/scoprire nuovi biomarcatori (i biomarcatori oggetto collegati alla meccanotrasduzione”;

- studio prospettivo (per quanto alla parte di METAMECH prevista nell’ambito del cosiddetto tier 1), ovvero che mira a “seguire le caratteristiche dei tumori al seno sotto trattamenti di cura standard e di definire nuovi biomarcatori collegati alla meccanotrasduzione”,

- studio longitudinale (per quanto alla parte di METAMECH prevista nell’ambito del cosiddetto tier 0 e 1), ovvero che consente di sviluppare una analisi dell’intera storia clinica di sviluppo del tumore;

- studio prospettivo e finalizzato al cosiddetto “modelling” (per quanto alla parte di METAMECH prevista nell’ambito del cosiddetto tier 2), ovvero che mira a “sviluppare modelli sperimentali per studiare i meccanismi aberranti”.“Metamech rientra nella categoria di protocolli “master observational”, che prevedono che vengano esplorate sempre nuove caratteristiche del tumore nell’ambito di un unico protocollo, col solo vincolo di rispondere a domande scientifiche che rimangano nell’ambito di quanto dichiarato negli obiettivi del protocollo stesso”;

• “METAMECH è quindi anche un protocollo “open-end” in quanto si pone l’obiettivo di rispondere ad alcune “pivotal questions” (o domande centrali) che possono essere confermate o modificate durante la revisione scientifica annuale sull’andamento dello studio”.

IFOM ha dunque chiarito che il presupposto di liceità del trattamento dei dati personali nell’ambito del tier 0 è rappresentato dalla preventiva consultazione al Garante ai sensi dell’art. 110 del Codice.
Per quanto riguarda i successivi tier 1, 2 e 3 IFOM ha indicato che il trattamento dei dati personali si basa sul consenso degli interessati, precisando, con particolare riferimento al tier 3, che il consenso riguarderà la partecipazione a nuovi progetti di ricerca.

Rispetto al progetto presentato, IFOM ha fornito copia dei pareri dei comitati etici competenti a livello territoriale, della valutazione di impatto (Vip) nonché delle informative predisposte per gli interessati.

IFOM ha fornito specifici chiarimenti sulle modalità con le quali intenderebbe assolvere agli obblighi di trasparenza imposti dal Regolamento. In particolare nella VIP è rappresentato che “Le informazioni di cui all’art. 13 del Regolamento sono fornite correttamente alle persone in vita arruolate tramite i Centri. Per contro, le informazioni di cui all’art. 13 del Regolamento non possono essere fornite alle persone decedute in quanto ciò risulta impossibile. Sarà chiesto ai centri di pubblicare informative ex art. 14 sui loro siti”. L’Istituto, inoltre, nella nota del 6 luglio 2022, ha rappresentato di aver aggiornato le informative al fine di superare i rilievi mossi dall’Ufficio. 

Con riguardo ai tempi di conservazione dei dati trattati, nella Vip è rappresentato che “IFOM ha assunto la decisione di conservare i dati clinici e i campioni dei pazienti arruolati per una durata almeno pari alla durata che avrà il progetto finanziato (7 anni più ulteriori 7 anni di possibile rinnovo) in quanto funzionali allo svolgimento dello studio. Relativamente alla conservazione, si evidenzia come dati personali e campioni saranno conservati in forma pseudonimizzata e la chiave di lettura sarà esclusivamente a disposizione del centro sperimentatore che ha in cura, ha avuto in cura l’interessato e non sarà mai a disposizione di IFOM”. A tale riguardo, nell’istanza e nella documentazione integrativa è rappresentato che, trattandosi di un protocollo master observational, i tempi di conservazione ivi indicati sono proporzionati e coerenti con il Regolamento.

IFOM, inoltre, ha evidenziato che, “laddove ci sarà la possibilità di sostenere economicamente le progettualità per un periodo di tempo più lungo, anche una volta che sia terminato il grant assicurato da AIRC, è in discussione come poter procedere ad una estensione del periodo di conservazione e di utilizzo dei campioni e dei dati personali. Le considerazioni in corso vertono sul principio di cui all’art. 5 comma 1 lett. e) del Regolamento e sulla possibilità di prolungare, per la medesima finalità e per il medesimo protocollo, la conservazione dei dati personali (permettendo alla ricerca di “sopravvivere”, mantenendo inalterate le sue caratteristiche, al termine del grant di AIRC)”.

Con specifico riferimento all’individuazione dei ruoli di protezione dei dati personali assunti dai soggetti coinvolti a vario titolo nello Studio, IFOM ha chiarito che esso, “in qualità di sponsor opera quale titolare del trattamento”; i centri di ricerca che “si occupano di arruolare i pazienti [...] operano quali titolari del trattamento (ognuno per i soli dati personali dei pazienti che arruola)”; i laboratori che svolgono trattamento di dati personali per conto di IFOM [...] operano quali responsabili del trattamento; la CRO che si occuperà del monitoraggio sulla sperimentazione [...] sarà nominata anch’essa responsabile del trattamento prima di iniziare tale attività”.

Nella Vip, IFOM ha chiarito che i dati sono raccolti dallo sponsor in forma pseudonimizzata attraverso l’attribuzione di un codice alfanumerico la cui chiave di decodifica rimane esclusivamente in possesso dei centri partecipanti e che, in applicazione del principio di esattezza dei dati, l’applicativo redcap -all’uopo utilizzato- prevede “un’estensione software la cui funzionalità risiede nel verificare che il soggetto coinvolto nello studio non sia già stato arruolato da altro centro, tramite una funzione di hash”.

Con specifico riferimento alle tecniche di anonimizzazione che l’Istituto intenderebbe implementare al termine dello Studio esso ha rappresentato che “il processo di anonimizzazione sarà posto in essere come ultima fase del trattamento dei dati personali nell’ambito del progetto di ricerca. (…). Al verificarsi della predetta circostanza è intenzione di IFOM provvedere all’anonimizzazione completa per continuare ad utilizzare per scopi di ricerca le risorse generate tramite METAMECH in forma statica. [...]. L’anonimizzazione che si sta valutando sarà attuata con metodologie che sono ancora da identificarsi nei dettagli, ma che verteranno sui seguenti punti fermi. La metodologia di anonimizzazione, considerando anche la struttura delle basi dati utilizzata, sarà con estrema probabilità la cd generalizzazione [...] individuerà soluzioni per diluire gli attributi dei soggetti arruolati. Tale metodologia infatti “sembra essere preferibile in ragione della specificità del progetto di ricerca. Essendo un progetto longitudinale la tecnica sembra essere idonea ad assicurare la completa tutela dei diritti e delle libertà fondamentali degli interessati e, nel contempo, a mantenere alcuni specifici set di dati osservati che (seppure anonimizzati) contestualizzino le circostanze da loro rappresentate sotto il profilo clinico con riferimento a un soggetto univoco”. Saranno inoltre rimossi tutti gli “identificatori” dei pazienti, tra cui: il “codice paziente arruolato”; il “codice centro di appartenenza” e le “date degli esami diagnostici”.

“IFOM inoltre sta lavorando alla possibilità di sottoporre il database, privato degli identificatori, ad una soluzione che renda il database indisponibile a tutti (compreso a sé stesso)”, prevedendo “la possibilità di consegna di una copia della base dati che sia stata cifrata e una chiave di decifratura generata in modalità sicura, ad un notaio che si faccia garante della sua conservazione e del suo non utilizzo”. Questa soluzione, che si vuole [...] approfondire, pare oggi essere una alternativa di cui studiare la percorribilità per consentire ulteriori trattamenti dei dati personali a fini di ricerca adottando misure di sicurezza adeguate, conformemente all’art. 89 del Regolamento”.

Nella Vip è indicato che “Non sono previsti trasferimenti di dati al di fuori dello Spazio Economico Europeo”. Nel medesimo documento e nelle informative sul trattamento dei dati a tale riguardo è, tuttavia, specificato che “I Suoi dati potranno essere comunicati anche al di fuori dello Spazio Economico Europeo (SEE) qualora tale comunicazione sia necessaria all'esecuzione dello studio. I Titolari rendono noto che il trasferimento avverrà nel rispetto degli artt. 44 e ss. ss. del GDPR: tali comunicazioni potranno avvenire unicamente in paesi terzi che garantiscono un livello di protezione dei dati adeguato a quello europeo (art. 45 GDPR) o previa stipula di un accordo che regoli l’assunzione di adeguate misure tecniche ed organizzative volte a garantire un livello di protezione dei dati personali adeguato alla normativa UE (art. 46 GDPR). IFOM nominerà tutti i soggetti suddetti come Responsabili del Trattamento e in ogni caso vincolerà tali terzi a mantenere la riservatezza in relazione ai Suoi Dati”.

La valutazione di impatto reca infine un’analitica descrizione delle misure tecniche e organizzative che l’Istituto si impegna ad implementare per garantire un livello di sicurezza adeguato al rischio. Le richiamate misure contengono, in particolare, una specifica politica di controllo accessi, aggiornamenti periodici sugli strumenti utilizzati per il trattamento dei dati personali al fine di prevenirne le vulnerabilità, anche in riferimento ai software antivirus, ai sistemi conservazione dei dati, specifici sistemi per la sicurezza dei dati, monitoraggio della rete, tecniche di cifratura e pseudonimizzazione per la minimizzazione dei dati. Le richiamate misure tecniche sono completate da una serie di misure fisiche che riguardano la sicurezza degli edifici, dei locali dove sono archiviati i dati, sistemi di alimentazione energetica alternativi e di misure organizzative che prevedono, in particolare, la formazione del personale sui profili di protezione dei dati personali, la definizione dei ruoli privacy da attribuire a tutti i soggetti a vario titolo coinvolti nelle operazioni di trattamento dei dati (art. 24, 28, 29 del Regolamento e 2-quaterdecies del Codice).

Nell’ambito dell’istruttoria preliminare effettuata dall’Ufficio, in riscontro ad alcune specifiche osservazioni formulate in ordine ad eventuali trasferimenti di dati personali, anche relativi allo Studio METAMECH, tra i soggetti consorziati, IFOM ha chiarito che il “consortium agreement vuole” tra le altre cose ”regolare il flusso di dati scientifici o materiale scientifico (quali modelli cellulari, materiale genetico ricombinante, ecc…) che un partecipante ad una delle progettualità di ricerca perseguite dal consorzio e finanziate da AIRC invia / invierà ad un’altra parte consorziata. Si parla di informazioni con valore scientifico e materiale prodotto in laboratorio. (...) Se dovesse verificarsi l’esigenza di trasferire materiale riferito a persona identificabile o dati personali, si individueranno i presupposti di legittimità e si considererà tale attività quale un nuovo trattamento, (...). Allo stato non sono previsti trattamenti di tal tipo nell’ambito di METAMECH”.

Con nota del 3 agosto 2022, anche a seguito di un incontro informale presso l’Ufficio del Garante tenutosi in data 25 luglio, IFOM ha fornito ulteriori chiarimenti.

IFOM ha in particolare ribadito che la differenza tra il tier 0 e il tier 1, sotto il profilo della protezione dei dati personali, attiene soprattutto ai presupposti giuridici del trattamento. Il tier 0 riguarda la raccolta di dati clinici di pazienti già precedentemente raccolti per scopi di cura (raccolta retrospettiva) in caso di soggetti deceduti o non contattabili il presupposto giuridico per il trattamento di tali informazioni è da rinvenirsi nella procedura di consultazione preventiva di cui trattasi. Il tier 1 riguarda, invece, soggetti contattabili di cui, sulla base del consenso, verranno trattati sia dati già precedentemente raccolti per scopi di cura (retrospettivi) che, se del caso, gli ulteriori dati sulla salute che verranno raccolti o generati nel processo di cura (dati prospettici), rilevanti per lo scopo dello Studio (diagnosi, immagini radiologiche e materiale biologico di archivio).

IFOM ha motivato l’indispensabilità di trattare anche dati riferiti a soggetti non contattabili sull’assunto che “La sola fase prospettiva sviluppabile con l’arruolamento di partecipanti raggiungibili (in vita) non è sufficiente a conseguire gli obiettivi del protocollo. Per raccogliere materiale sufficiente a svolgere l’indagine con la sola fase prospettica, bisognerebbe attendere diversi anni (anche 15-20 anni) per avere a disposizione le informazioni e il materiale sufficiente su cui poi lavorare”.

Alla luce delle difficoltà emerse, anche in sede di confronto informale, sul corretto inquadramento del tier 2, IFOM ha chiarito che “intende indagare il comportamento del tumore nei modelli derivati dai tumori in cui è presente un determinato biomarcatore”. Tale fase riguarda solo alcuni dei soggetti raggiungibili, arruolati nel tier 1, e rispetto ad essa IFOM raccoglie uno specifico consenso al trattamento dei dati, con particolare riferimento al cd materiale biologico “fresco”. La richiesta di consenso è presentata congiuntamente a quella alla partecipazione al tier 1 perché questa fase ne rappresenta la naturale evoluzione ancorché non è detto che “il soggetto arruolato per il tier 1 presenta i biomarcatori indagati e validati sui quali realizzare modelling”.

Conseguentemente, IFOM ha fornito ulteriori chiarimenti in ordine alla numerosità del campione specificando che “secondo i razionali scientifici sottesi a METAMECH, IFOM ha individuato (...) il numero di 500 unità considerandolo il livello minimo necessario per poter perseguire la finalità di identificare e validare nuovi biomarcatori prognostici e/o predittivi in pazienti affetti da tumore al seno. Sempre nel numero complessivo di 500 unità rientra anche la porzione di quei partecipanti arruolati al tier 1 (soggetti raggiungibili) che, avendo aderito anche al tier 2, consentono ad IFOM di raccogliere materiale biologico “fresco””. IFOM ha assicurato, inoltre, che l’eventuale ampliamento del campione verrà comunicato al Garante con un nuovo processo di consultazione preventiva oltre che ai competenti comitati etici.

Specifici chiarimenti hanno riguardato anche il tier 3, rispetto al quale IFOM ha ribadito che esso è “costituito da progetti di ricerca del tutto autonomi rispetto a METAMECH, che partono dai risultati scientifici ottenuti con l’attività di identificazione e validazione dei biomarcatori (tier 0 e 1) e con l’osservazione del comportamento dei tumori in presenza di detti biomarcatori (tier 2). Il tier 3 coinvolgerà pazienti in studi interventistici che richiedono la redazione di protocollo di sperimentazione ad hoc che devono essere approvati dai comitati etici competenti e dall’autorità regolatoria (Agenzia Italiana del Farmaco). Gli studi interventistici avranno una loro informativa sul trattamento dei dati personali e relativa richiesta di consenso al trattamento (o più consensi laddove necessitato)”.

Tenuto conto di alcune incongruenze rilevate nelle informative predisposte per gli interessati rispetto al ruolo del consorzio omonimo allo Studio in esame, IFOM ha dichiarato che il Consorzio “Metamech è un accordo (non costituisce un soggetto dotato di personalità giuridica) che nasce per definire gli impegni vincolanti tra i suoi partecipanti con riferimento alla gestione del progetto presentato congiuntamente in risposta alla call “Metastatic disease: the key unmet need in oncology” – Second Edition di AIRC” e che “Non è previsto alcun altro trattamento di dati personali da parte dei partecipanti del Consorzio Metamech e conseguentemente nessun altro “ruolo privacy” per i partecipanti del Consorzio Metamech nell’ambito di METAMECH”.

Nella richiama nota, IFOM ha ribadito l’intenzione di protrarre i tempi di conservazione per un periodo di sette (7) anni eventualmente estendibile per altri sette (7), coerentemente alla durata dei finanziamenti del progetto.

A tale riguardo, IFOM ha precisato quanto segue:

- il costo sostenuto da IFOM, e finanziato da AIRC con il 5X1000, per ottenere una storia clinica annotata di 500 pazienti arruolati sulla quale condurre attività di scoperta e validazione di biomarcatori è elevato;

- il valore scientifico delle informazioni cliniche e dei campioni raccolti nelle fasi 0 e 1 è notevole;

- le attività di scoperta e validazione di biomarcatori sul campione di 500 partecipanti potrebbero proseguire, ad immutato campione e regole deontologiche, anche per molti più anni di quelli che AIRC è in grado attualmente di sostenere col proprio finanziamento;

- a tale proposito, come indicato al punto 5 della comunicazione inviata in data 8 luglio, con riferimento ai processi di “Anonimizzazione del dato”, IFOM avrebbe interesse ad approfondire con Codesta Autorità la possibilità di conservare i dati personali oltre il termine di 7 + 7 anni oggi preventivati, sulla base del fatto che la ricerca non verrà interrotta perché sono stati indagati tutti i possibili biomarcatori (esaurendo l’utilizzabilità e il valore delle informazioni cliniche e dei campioni raccolti), ma solo perché è terminato il supporto economico che finanzia la ricerca.
Inoltre, dal punto di vista scientifico, se fosse possibile finanziare la ricerca oltre il 7+7 anni, si potrebbe anche arrivare a svolgere innovative attività di scoperta dei biomarcatori relativi al ripresentarsi di una patologia tumorale a seguito di un lungo periodo di assenza (anche 20 anni dopo)”.

2. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni relative al trattamento dei dati genetici e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegati 4 e 5 al provvedimento del 5 giugno 2019 (doc. web 9124510), nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica allegato A5 al Codice, che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

In via preliminare, si chiarisce che per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 5, n.1). Il Regolamento definisce altresì la “pseudonimizzazione“ come “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4, n. 5 del Regolamento C26, C28-C29).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto non è necessario (...) “quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento (art. 110 del Codice, art. 9, par. 2 lett. j) e par. 4 del Regolamento).

A tale riguardo, le richiamate prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica stabiliscono che “quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca” indicando nel novero di tali circostanze quelle in cui gli interessati che si intendono arruolare nello studio “risultino essere al momento dell’arruolamento nello studio: deceduti o non contattabili” (cfr. punto 5.3).

In relazione all’istanza pervenuta e ai relativi trattamenti di dati personali merita evidenziarsi, in particolare, il principio di limitazione della conservazione (artt. 5, par. 1, lett. e) del Regolamento).
Tale principio dispone che i dati siano “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato” (art. 5, par. 1 lett. e) del Regolamento).

Proseguendo nell’indicazione delle principali norme di protezione dei dati personali rilevanti nella fattispecie in esame, si evidenzia che, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai par. da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità” fornendo taluni esempi a riguardo.

Per quanto riguarda l’anonimizzazione, si segnala infine, non solo, che come noto, essa non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo, ma che il dato anonimizzato è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni disponibili, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

3. Le valutazioni dell’Autorità

3.1. Le basi giuridiche del trattamento dei dati

L’Istituto, in qualità di promotore dello Studio METAMECH e di titolare del trattamento dei dati personali, come previsto dall’art. 110 del Codice e 36 del Regolamento, ha presentato al Garante il progetto e la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello stesso.

Più precisamente, l’Istituto ha chiarito che l’istanza di consultazione preventiva presentata riguarda esclusivamente il livello/tier 0 dello Studio, ovvero quello relativo alla raccolta retrospettiva, per finalità osservazionali, di dati di pazienti affetti dal tumore alla mammella non più in vita o non contattabili. Il presente provvedimento concerne pertanto solo questo livello dello Studio.

Al riguardo, si apprezza favorevolmente la condotta del titolare del trattamento che, sia nella documentazione in atti che nell’ambito dei contatti con l’Ufficio del Garante, ha dedicato ampio spazio alla descrizione del progetto nella sua interezza, soffermandosi anche sui trattamenti di dati personali destinati a fondarsi sul consenso dei soggetti interessati. Tali ultimi, peraltro, sono inscindibilmente connessi con i primi.

Il progetto, volto alla realizzazione di studi retrospettivi e prospettici, risulta particolarmente innovativo nella misura in cui la Fondazione, attraverso i propri laboratori, studiando in base ai principi della meccanobiologia il tumore, il suo microambiente e il paziente specifico che ha sviluppato la malattia, ambisce ad individuare nuovi biomarcatori. Ciò, non tanto al fine di consentire che in futuro si possano accelerare i tempi di diagnosi della malattia, ma soprattutto per poter individuare terapie specifiche, adeguate e più efficaci rispetto ad ogni singolo paziente.

È importante, quindi, sottolineare rispetto ai pazienti in vita la possibilità che il trattamento dei loro dati personali, ivi inclusi i campioni ematici, per la realizzazione dello Studio potrebbe avere significative ricadute personalizzate in termini di terapia (art. 9, par. 2, lett. h) del Regolamento e provv. del Garante del 7 marzo 2019, doc. web. 9091942). Ciò, rileva anche in relazione alla possibilità che l’esame delle richiamate informazioni sanitarie faccia emergere notizie inattese il cui trattamento deve essere effettuato in conformità alle specifiche disposizioni contenute sia nelle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica allegato A5 al Codice (art. 8) che nelle Prescrizioni relative al trattamento dei dati genetici, allegato n. 4 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali del 5 giugno 2019 (doc. web 9124510; punto 4.3. ).

Si prende quindi favorevolmente atto della circostanza che il titolare abbia previsto una sezione dell’informativa sul trattamento dei dati personali dedicata alle “notizie inattese”, ciò sia per rappresentare agli interessati che esse potrebbero emergere nel corso della ricerca, sia per acquisire il necessario consenso informato degli interessati circa gli indicental findings eventualmente emersi.

Ciò premesso, in relazione al Livello 0 dello Studio -l’unico oggetto della presente istanza di consultazione preventiva-, si ritiene che l’Istituto abbia correttamente individuato la base giuridica per la raccolta e il successivo trattamento di dati sulla salute delle pazienti arruolate decedute o non contattabili. Sul punto, il titolare ha non solo rappresentato i validi motivi che giustificano l’impossibilità di riuscire ad informare e acquisire il consenso di tali pazienti, strettamente correlati all’alta incidenza di mortalità della patologia oggetto analisi, come previsto al punto 5.3 delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, ma anche il motivo per il quale il trattamento di queste informazioni si rende indispensabile per la realizzazione dello Studio che, diversamente, si baserebbe su un campione non completo.

3.2. Trattamento dei dati personali nell’ambito dello Studio

Con riferimento ai tempi di conservazione dei dati raccolti, come sopra riportato, IFOM rappresenta di voler “conservare i dati clinici e i campioni dei pazienti arruolati per una durata almeno pari alla durata che avrà il progetto finanziato (7 anni più ulteriori 7 anni di possibile rinnovo) in quanto funzionali allo svolgimento dello studio”.

IFOM ipotizza poi la possibilità di conservare ulteriormente i dati raccolti, attesa la preziosità e il valore strategico del patrimonio informativo acquisito qualora il progetto dovesse ottenere ulteriori finanziamenti. IFOM ha rappresentato, infatti che “dal punto di vista scientifico, se fosse possibile finanziare la ricerca oltre il 7+7 anni, si potrebbe anche arrivare a svolgere innovative attività di scoperta dei biomarcatori relativi al ripresentarsi di una patologia tumorale a seguito di un lungo periodo di assenza (anche 20 anni dopo)”.

Il citato principio di limitazione della conservazione dei dati prevede che essi possano essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati raccolti.

In sede istruttoria, tuttavia, è stato rappresentato in particolare che “il valore scientifico delle informazioni cliniche e dei campioni raccolti nelle fasi 0 e 1 è notevole” e che “le attività di scoperta e validazione di biomarcatori sul campione di 500 partecipanti potrebbero proseguire, ad immutato campione e regole deontologiche, anche per molti più anni di quelli che AIRC è in grado attualmente di sostenere col proprio finanziamento”.

In altri termini, è emerso che sui medesimi campioni disponibili la meccanobiologia è in grado di svolgere ricerche e analisi per periodi di tempo molto lunghi sempre al fine di individuare nuovi biomarcatori, ossia che il titolare potrebbe proseguire nel perseguimento del medesimo originario scopo.

Poste tali premesse e tenuto conto  che specifiche esigenze di correttezza e trasparenza impongono al titolare del trattamento di definire e rappresentare agli interessati il tempo di conservazione dei loro dati ovvero, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo (nel caso di specie la possibilità di individuare nuovi biomarcatori in relazione alla disponibilità di risorse economiche) si ritiene, in primo luogo, che il tempo di conservazione indicato di sette più sette (7+7) anni, correlato esclusivamente alla possibilità materiale di proseguire lo Studio volto alla ricerca di nuovi biomarcatori sia proporzionato.

In secondo luogo, si ritiene che, qualora lo Studio volto alla ricerca dei biomarcatori anche dopo il periodo indicato, dovesse ottenere ulteriori finanziamenti, tali per cui potrebbe proseguire, per il perseguimento dei medesimi scopi, la Fondazione possa definire un ulteriore periodo di conservazione.

Si ritiene pertanto necessario che, qualora il promotore riterrà, nei termini sopra delineati, di proseguire, oltre il termine di sette + sette anni, nel trattamento dei dati per il perseguimento dei medesimi scopi per i quali essi sono stati raccolti, questi dovrà preventivamente informare gli interessati considerati non contattabili attraverso specifiche inserzioni sul proprio sito internet e su quelli dei centri sperimentali, e dovrà informare direttamente gli interessati in vita, con i quali, attraverso i centri sperimentali, dovesse entrare in contatto (artt. 13 e 14, par. 5, lett. b) del Regolamento). Ciò, anche al fine di consentire agli interessati, nel rispetto del principio di correttezza e trasparenza, l’esercizio dei diritti loro spettanti in base al Regolamento (art. 15 e ss.)

Si ritiene, inoltre, necessario che il punto 4 dell’informativa sul trattamento dei dati personali rappresenti chiaramente agli interessati l’eventualità che i dati possano essere, per le medesime finalità, ulteriormente conservati in caso di ulteriori finanziamenti e che di tale circostanza il promotore avrà cura, impegnandosi fin da ora, di darne preventiva notizia nelle forme sopra indicate.

La prospettata nomina di un custode, anche di elevato profilo e affidabilità, quale potrebbe essere un notaio, per la conservazione di una copia della base dati “cifrata” e delle relative chiavi di decripting, costituisce unicamente una misura di sicurezza e di minimizzazione dei dati da svolgersi comunque nel rispetto degli ulteriori principi e obblighi previsti dal Regolamento (artt. 5, par. 1 lett. a) e 2, 6, 9, 24 e 28 del Regolamento).

3.3. Trattamento per il perseguimento di ulteriori scopi di ricerca

Il presente provvedimento, come già evidenziato, riguarda unicamente i trattamenti di dati personali, anche genetici, riferiti a persone decedute o comunque non contattabili, correlati alla conduzione del livello/tier 0 dello Studio. Esso pertanto non può riguardare eventuali trattamenti ulteriori rispetto allo Studio oggetto del presente parere, per scopi di ricerca scientifica ivi inclusa l’eventuale comunicazione a soggetti terzi.

In relazione a tali eventuali trattamenti, spetta al titolare, in omaggio al principio di responsabilizzazione, verificare la sussistenza di idonei presupposti giuridici anche alla luce delle indicazioni pervenute e che perverranno al riguardo dal Garante europeo e dal Comitato europeo per la protezione dei dati (artt. 5, 24 e 25 del Regolamento; cfr. Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati, del 23 gennaio 2019 del Comitato europeo per la protezione dei dati; A preliminary Opinion on data protection and scientific research” del 6 gennaio 2020, del Garante europeo; Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, del 2 febbraio 2021 del Comitato europeo per la protezione dei dati; provv. del Garante del 1° novembre 2021, doc. web 9731827).

3.4. Anonimizzazione dei dati

Al termine del trattamento, allo stato definito in 14 anni, IFOM attiverà il “processo di anonimizzazione [...] come ultima fase del trattamento dei dati personali nell’ambito del progetto di ricerca [...]”.

Con riferimento alle tecniche di anonimizzazione che si intendono implementare IFOM ha dichiarato che “L’anonimizzazione che si sta valutando sarà attuata con metodologie che sono ancora da identificarsi nei dettagli, ma che verteranno sui seguenti punti fermi. La metodologia di anonimizzazione, considerando anche la struttura delle basi dati utilizzata, sarà con estrema probabilità la cd generalizzazione. IFOM lavorerà al fine di rendere meno dettagliate le informazioni riferite a un individuo, ovvero individuerà soluzioni per diluire gli attributi dei soggetti arruolati (ad esempio modificando la rispettiva scala o ordine di grandezza di alcuni dei parametri). La scelta di questa opzione, su cui si ribadisce IFOM sta ancora tecnicamente lavorando per trovarne la migliore applicazione possibile, sembra essere preferibile in ragione della specificità del progetto di ricerca. Essendo un progetto longitudinale la tecnica sembra essere una idonea ad assicurare la completa tutela dei diritti e delle libertà fondamentali degli interessati e, nel contempo, a mantenere alcuni specifici set di dati osservati che (seppure anonimizzati) contestualizzino le circostanze da loro rappresentate sotto il profilo clinico con riferimento a un soggetto univoco.

In particolare IFOM sta studiando come lavorare sulla cosiddetta aggregazione in modo da non definire una scala troppo ampia da portare a perdere ogni valenza semantica del set di informazioni, diventando esso inidoneo ad esprimere qualsiasi nesso di correlazione utile a descrivere un fenomeno osservato.

Quanto qui sopra indicato sarà affiancato, al momento di attuare l’anonimizzazione, ad una rimozione degli identificatori e quasi-identificatori.

A tale riguardo, pur comprendendosi che vista la distanza temporale del momento in cui le operazioni di anonimizzazione dovranno avere luogo potrebbe apparire prematuro definire con rigoroso dettaglio le tecniche che verranno applicate per l’anonimizzazione dei dati trattati, tenuto conto che l’istanza di consultazione preventiva ai sensi dell’art. 110 del Codice implica che il titolare sottoponga all’esame dell’Autorità la valutazione d’impatto sui dati personali di tutti i trattamenti che intende svolgere, si ritiene comunque necessario che l’Istituto, sottoponga al Garante le tecniche di anonimizzazione dei dati che vorrà implementare alla fine della conservazione degli stessi.

Ciò, fermo restando che all’atto della concreta applicazione delle suddette tecniche di anonimizzazione, le stesse dovranno essere soggette ad una specifica verifica che ne attesti la persistente adeguatezza allo stato dell’arte tecnologico relativo al momento dell’operazione in esame, la coerenza con le pertinenti linee guida del Garante e del Comitato europeo per la protezione dei dati e che esse siano sufficientemente robuste da rendere i dati effettivamente anonimi (cfr. provv. del Garante del 30 giugno 2022 doc. web 9791886 Parere 05/2014 sulle tecniche di anonimizzazione” adottato dal WP29 in data 10/04/2014).

3.5. Misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati allo Studio

Con riferimento agli oneri informativi e alle ulteriori misure previste per assicurare l’effettiva applicazione del principio di trasparenza, nel prendersi favorevolmente atto delle modalità con le quali l’Istituto intende informare gli interessati circa i dati raccolti presso i centri partecipanti, ai sensi dell’art. 14 del Regolamento, e delle migliorie già apportate ai testi delle informative a seguito delle interlocuzioni con l’Ufficio, si ritiene opportuno formulare talune specifiche osservazioni.

Preliminarmente, si prende favorevolmente atto che l’informativa è strutturata in modo chiaro, come se il titolare fosse chiamato a rispondere a specifiche domande poste dall’interessato in relazione ai suoi dati personali.

Nel merito, si rileva però che risulta erroneo, alla luce del quadro normativo sopra delineato, quanto riportato in riferimento ai dati pseudonimizzati, laddove l’Istituto rappresenta che “”Tale processo consiste nella pseudoanonimizzazione dei Dati, il che significa che i Suoi dati personali non saranno più collegati alla Sua persona”.

Si ribadisce, infatti, che la pseudonimizzazione è “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4, n. 5 del Regolamento). Quelli pseudonimizzati sono quindi dati personali soggetti ad una specifica tecnica di codifica che non esclude però in maniera definitiva l’identificazione dell’interessato. La misura è volta ad assicurare, per tutta la durata del trattamento, l’effettiva applicazione del principio di minimizzazione, consentendo, laddove se ne ravvisi la necessità, la possibilità per il titolare di ricongiungere i diversi pseudonimi ai relativi interessati (art. 89 del Regolamento; cfr. provv. del Garante del 23 gennaio 2020, doc. web 9261093).

Si ritiene pertanto che la richiamata sezione dell’informativa vada riformulata in termini coerenti con il Regolamento (art. 4 n. 5) o espunta dal testo.

Inoltre, alcuni periodi dell’informativa non sono chiari, nè corretti. Ci si riferisce, in particolare, al punto 4 della stessa denominato “Per quale periodo tratteremo i suoi dati”, dove l’Istituto rappresenta “Se tratteremo i Dati per più finalità, essi saranno cancellati automaticamente o salvati in un formato che non consenta di pervenire ad alcuna conclusione diretta in relazione alla Sua identità, non appena l’ultima finalità specifica sarà stata adempiuta”. Pertanto, anche alla luce dei chiarimenti pervenuti in relazione all’uso e alla conservazione dei dati, si ritiene necessario che tale periodo vada espunto.

Merita, infine, formularsi un ulteriore favorevole apprezzamento circa l’inserimento, a margine dell’informativa, di un modulo per la revoca del consenso. Il Garante ritiene, infatti, che si tratti di una misura idonea ad assicurare la revoca del consenso con la stessa facilità con cui l’interessato lo ha espresso, proprio come richiesto dal Regolamento (art. 7, par. 3 del Regolamento e par. 5.2, punti 112 e ss. delle Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 Versione 1.1 adottate il 4 maggio 2020).

3.6. Ulteriori misure

L’Istituto, quale titolare del trattamento, come sopra illustrato (cfr. punto 1) e come richiesto dalla procedura prevista dagli artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello Studio di cui trattasi. Da tale documento emerge che l’Istituto ha predisposto misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti. Nella valutazione d’impatto è stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli.

Infine, si raccomanda all’Istituto il rigoroso rispetto delle Prescrizioni relative al trattamento dei dati genetici e di quelle relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, anche in relazione alle misure ivi indicate per la conservazione dei campioni biologici, atteso che esse costituiscono condizione di liceità e correttezza del trattamento (doc. web 9124510).

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime a IFOM, Istituto Fondazione di oncologia molecolare – ETS, Via Adamello, 16 20139 Milano, CF 97358780159, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti non contattabili arruolati nello studio “A Master Protocol Empowering Mechanobiology Translational Research in Breast Cancer (METAMECH)”, a condizione che:

1. qualora il promotore intenda proseguire oltre il termine di quattordici anni nella conservazione e nel trattamento dei dati per il perseguimento dei medesimi scopi per i quali essi sono stati raccolti, questi informi gli interessati non contattabili attraverso specifiche inserzioni sul proprio sito internet e su quelli dei centri sperimentali e informi direttamente gli interessati in vita con i quali, attraverso i centri sperimentali, dovesse entrare in contatto (punto 3.2);

2. il punto 4 dell’informativa sul trattamento dei dati personali rappresenti chiaramente agli interessati l’eventualità che i dati possono essere conservati per un periodo di tempo più lungo per il perseguimento del medesimo scopo per cui i dati sono stati raccolti, in caso di ulteriori finanziamenti e che di tanto il promotore informerà gli interessati nelle forme sopra indicate (punto 3.2);

3. sia riformulato in termini coerenti con il Regolamento o espunto dall’informativa il seguente paragrafo: “Tale processo consiste nella pseudoanonimizzazione dei Dati, il che significa che i Suoi dati personali non saranno più collegati alla Sua persona” (punto 3.5).

4. sia espunto dall’informativa il seguente paragrafo “Se tratteremo i Dati per più finalità, essi saranno cancellati automaticamente o salvati in un formato che non consenta di pervenire ad alcuna conclusione diretta in relazione alla Sua identità, non appena l’ultima finalità specifica sarà stata adempiuta” (punto 3.5);

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento prescrive a IFOM, Istituto Fondazione di oncologia molecolare – ETS, di sottoporre al Garante le tecniche di anonimizzazione dei dati che vorrà implementare alla fine della conservazione degli stessi (punto 3.4).

Si richiede sensi dell’art. 157 del Codice a IFOM, Istituto Fondazione di oncologia molecolare – ETS, di comunicare, entro 120 giorni dalla notifica del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 24 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei