[doc. web n. 9875254]

Provvedimento del 2 marzo 2023

Registro dei provvedimenti
n. 73 del 2 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’art. 110 comma 1, secondo periodo del Codice che, in relazione al trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone in particolare che “il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento”;

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA l’istanza di consultazione preventiva presentata, ai sensi degli artt. 110 del Codice e 36 del Regolamento, dall’Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino, con sede legale in Corso Bramante 88/90 – 10126 Torino, per la realizzazione di uno studio multicentrico, retrospettivo, osservazionale ed epidemiologico (nota del 2 febbraio 2022, prot. n. 0011711/A.4.2.2., successivamente integrata con nota dell’8 giugno 2022, prot. n. 0064367/A.4.2.2.);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. L’istanza di consultazione preventiva e l’attività istruttoria svolta

Con nota del 2 febbraio 2022, l’Azienda Ospedaliero Universitaria Città della Salute e della Scienza di Torino (di seguito l’”Azienda”) ha presentato un’istanza di consultazione preventiva, ai sensi dell’art. 110, comma 1, ultimo capoverso del Codice e dell’art. 36 del Regolamento, in qualità di promotore dello studio no profit, multicentrico, retrospettivo, osservazionale, epidemiologico e non farmacologico, denominato “Analisi accessi in emergenza per patologia neurologica e psichiatrica in infanzia e adolescenza” (di seguito “Studio”), in quanto, a causa di particolari ragioni (di seguito descritte), non è possibile informare i pazienti che si intendono arruolare nello Studio.

A tale riguardo, l’Azienda ha trasmesso la valutazione di impatto, svolta ai sensi dell’art. 35 del Regolamento. A seguito delle osservazioni formulate dall’Ufficio nell’ambito dell’istruttoria preliminare (nota del 18 febbraio 2022, prot. n. 11372) -che mettevano in luce talune criticità in relazione ai profili di protezione dei dati personali nei trattamenti oggetto dello Studio e la mancata trasmissione in atti del progetto di ricerca- l’Azienda ha trasmesso la documentazione integrativa e in particolare il protocollo dello Studio e i pareri, fino a quel momento ottenuti, dei comitati etici territorialmente competenti (nota dell’8 giugno 2022).

Lo Studio è volto a “valutare l'impatto della pandemia da Covid e relative misure istituzionali di distanziamento sociale sugli accessi in emergenza urgenza per patologia neuropsichiatrica infantile (NPI) e collocare tale impatto nel contesto del trend antecedente la pandemia stessa”. Esso si pone inoltre come obiettivo quello di “descrivere il modificarsi della psicopatologia (espressa come motivo di accesso in pronto soccorso), individuare popolazioni maggiormente vulnerabili (in relazione a età, sesso, status socioeconomico), correlare l'andamento degli accessi con le misure istituzionali di distanziamento sociale (e quindi la chiusura delle scuole), con il progredire delle settimane dall'inizio della pandemia; valutare eventuali modifiche del tasso di ospedalizzazione e analizzare il fenomeno del revolving door, ossia il ritorno dopo un breve lasso di tempo in ospedale di un paziente recentemente dimesso da ricovero. Le ipotesi oggetto di studio sono infatti che vi sia stato un aumento degli accessi in emergenza urgenza per patologia NPI successivamente alla pandemia e in particolare, che vi sia stato un aumento per le patologie che comportano un rischio vita (tentativo di suicidio, anoressia estrema)”.

Lo Studio prevede “la raccolta degli accessi in emergenza urgenza che hanno richiesto consulto specialistico NPI nei pronti soccorsi dei centri partecipanti […] tra il 1° Gennaio 2018 e il 31 Dicembre 2021 (…)”. In particolare, verranno inclusi “tutti i pazienti che in pronto soccorso hanno richiesto una consulenza NPI, per motivo neurologico o psichiatrico”. Lo Studio prevede la raccolta dei seguenti dati personali: “nome e cognome del soggetto, poi convertito in codice univoco generato casualmente (UUID); età, espressa in anni e mesi; genere in forma categoriale numerica; CAP di residenza completo; data di accesso al PS; episodio in forma categoriale numerica (neurologico/psichiatrico); descrizione episodio; accesso recidivato (categoriale); terapia precedente; eventuale diagnosi precedente; eventuale precedente presa in carico NPI; successivo ricovero ospedaliero (si/no), in forma categoriale numerica. Verranno inoltre raccolti anche il numero totale di accessi per singolo pronto soccorso pediatrico per settimana (dato aggregato)”.

L’Azienda ha inoltre rappresentato che lo Studio prevede l’arruolamento di un numero di pazienti tra i 6.000 e i 10.000 e ha indicato tutti i Centri partecipanti presso i quali è prevista la raccolta di dati personali. In particolare, nel protocollo sono descritte le modalità di raccolta, conservazione e invio dei dati. A tale riguardo, è stato precisato che “I dati verranno raccolti dai sistemi informativi aziendali; che i dati identificativi del soggetto arruolato (nome, cognome) saranno sottoposti a pseudoanonimizzazione con codice univoco generato casualmente (UUID); i dati dello studio verranno raccolti in un database (foglio di calcolo) protetto da password e memorizzato in un PC (non aziendale) posto fuori rete e conterranno solo il codice UUID e non i dati identificativi; contemporaneamente verrà creato un ulteriore foglio di calcolo anagrafico che conterrà la corrispondenza tra codice univoco e dati identificativi dei soggetti; tale database anagrafico, protetto da password, sarà cifrato e conservato in un disco rigido esterno. Il disco rigido esterno sarà conservato in un armadio protetto da serratura e posto in una stanza protetta da porta con serratura. Le password di protezione dei 2 database e la password di cifratura saranno rigorosamente distinte. Il database anagrafico verrà conservato per il tempo necessario a concludere l'analisi dei dati (12 mesi), successivamente verrà eliminato. Dopo 12 mesi il dato viene trattato in maniera completamente anonima. Il database contenente i dati pseudoanonimizzati sarà conservato per il tempo necessario a completare l'analisi e garantire il controllo di replicabilità dei risultati ottenuti (5 anni), successivamente verrà eliminato. A tale riguardo, l’Azienda ha dichiarato inoltre che: “I dati pseudonimizzati saranno aggregati per settimana e quindi anonimizzati (…) e saranno analizzati in tale forma”.

Tale processo è confermato nella valutazione d’impatto in cui sono altresì descritte le misure di sicurezza implementate dal titolare per limitare i rischi per i diritti e le libertà fondamentali degli interessati.

Con particolare riferimento alla trasmissione dei dati dai Centri partecipanti, l’Azienda ha dichiarato che “I dati verranno trasmessi dai centri partecipanti in forma anonima e aggregata secondo i seguenti modelli: settimana numero cardinale; anno; settimana come data; numero totale di accessi neurologici (o psichiatrici); pazienti che hanno interrotto la terapia nei tre mesi antecedenti (numero totale); numero totale di pazienti ricoverati; indice di deprivazione medio (calcolato dal CAP); numero di accessi singola problematica; numero di pazienti che erano già acceduti nei tre mesi precedenti; numero di soggetti con pregressa terapia farmacologica o di altro tipo; numero di soggetti con diagnosi pregressa; numero di soggetti con precedente presa in carico NPI settimana numero cardinale; anno; settimana come data; numero di soggetti di sesso maschile; età media in anni”.

L’Azienda, tenuto conto delle osservazioni formulate dall’Ufficio nel corso dell’istruttoria preliminare, ha meglio rappresentato i motivi per i quali non è possibile acquisire il consenso degli interessati, precisando in proposito che “ciò implicherebbe innanzitutto di pregiudicare gravemente il conseguimento delle finalità della ricerca, con alterazione dei risultati e, in misura meno rilevante, implicherebbe uno sforzo sproporzionato, sussistendo motivi etici e motivi di impossibilità organizzativa […]. Più in particolare […], si ribadisce che il presente studio, osservazionale epidemiologico, ha come obiettivo ottenere una analisi accurata e completa dell'andamento di tutti gli accessi in emergenza urgenza neuropsichiatrici infantili negli ultimi anni nei principali ospedali pediatrici italiani. Si introdurrebbe infatti un bias di selezione dovuto al fatto che a esprimere il consenso sarebbero più facilmente soggetti sensibili alla ricerca e/o alle questioni cliniche oggetto della stessa, appartenenti a uno status socio economico mediamente più elevato e che abbiano la possibilità di investire circa un'ora del loro tempo e venire in ospedale per firmare dei consensi informati (Enzenbach, 2019; Vose, 2021; Knudsen, 2010; Coughlin, 2006). In subordine, trattandosi di una numerosità campionaria ipotizzata molto elevata (tra 6000 e 10000 soggetti), le risorse economiche e di personale necessarie a reperire i consensi, che peraltro verosimilmente sarebbero solo molto parziali, sarebbero sproporzionate, a fronte comunque di un persistente bias di selezione che vanificherebbe comunque il significato scientifico dello studio”.

Sul punto è stato inoltre rappresentato che “il presente studio ha carattere epidemiologico e le valutazioni effettuate sui dati potranno avere un valore scientifico se comprensive del totale dei pazienti effettivi che hanno effettuato l'accesso al pronto soccorso per motivi di tipo neuropsichiatrico infantile […]”.

In relazione all’impossibilità di informare gli interessati e quindi di acquisirne il consenso, in riscontro ad uno specifico approfondimento istruttorio del Garante, l’Azienda ha meglio rappresentato che “La popolazione oggetto di studio è composta da minori (da 0 a 17 anni e 11 mesi) che si sono recati presso uno dei pronto soccorsi pediatrici coinvolti in questo studio e abbiano ricevuto una consulenza specialistica neuropsichiatrica infantile. Si precisa quindi che i pazienti oggetto di questo studio non sono, nella più grande maggioranza dei casi, pazienti presi in carico o seguiti in maniera continuativa dalle strutture di NeuroPsichiatria Infantile (NPI)” [...] “Non è il genitore [ma il pediatra urgentista] che ha richiesto una visita specialistica e a tale visita solo in minima parte potrebbe aver fatto seguito un rapporto terapeutico continuativo con le strutture di Neuropsichiatria Infantile”.

È stato evidenziato, inoltre, che “Avendo questo studio un obiettivo epidemiologico, richiedere retrospettivamente un consenso informato scritto introdurrebbe un bias di selezione [da intendersi come] una condizione in cui la popolazione in studio non è rappresentativa della popolazione target (ossia che si intende valutare) che snaturerebbe completamente il lavoro”. Il titolare ha quindi elencato svariate ragioni correlate alla condizione culturale, sociale, economica e anagrafica delle famiglie degli interessati coinvolti nello Studio, che, anche in base ad una copiosa letteratura scientifica, portano questi ultimi a non partecipare a ricerche mediche epidemiologiche che non hanno “un ritorno personale (…) dalla ricerca in cui sono convolti” e dunque con effetti diretti sulla loro salute.

Il titolare ha quindi ribadito che “Per la natura dello studio è fondamentale poter raccogliere informazioni circa tutti i soggetti che hanno fatto accesso in pronto soccorso per emergenze urgenze neuropsichiatriche al fine di poter sostenere, grazie a dati di medicina evidence based, progetti di intervento specifici per eventuali soggetti più vulnerabili”.

L’Azienda ha inoltre documentato come il tentativo di contattare ogni singolo paziente della popolazione arruolata nello studio implicherebbe uno sforzo sproporzionato. A seguito di una specifica valutazione l’Azienda ha infatti calcolato che ciò “corrisponderebbe ad un impiego di personale sanitario per un minimo di 437 giorni a tempo pieno, con una stima al ribasso che non tiene conto del fatto che i genitori verosimilmente non verrebbero insieme in un unico appuntamento”. Il titolare ha dichiarato, inoltre, che “negli studi coinvolgenti minori, è necessario ottenere l’assenso scritto del minore, che sarebbe quindi anch’egli convocato in ospedale, con impatto sulla frequenza scolastica o con necessità di programmare gli appuntamenti dedicati alla firma dei consensi solo nel pomeriggio, quindi raddoppiando il tempo necessario per ottenere tutti i consensi. Si arriverebbe a necessitare di 2,3 anni per ottenere, in linea teorica, tutti i consensi”. Tali circostanze risultano aggravate dal fatto che “non vi sono finanziamenti previsti per questa ricerca che viene portata avanti da personale medico universitario, parallelamente all’attività clinica e assistenziale” (nota del 1° febbraio 2023).

Con specifico riferimento alle modalità con cui si intendono fornire le informazioni ai pazienti arruolati non contattabili, ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e dell’art. 6 delle Regole deontologiche, l’Azienda ha dichiarato che essa verrà “pubblicata sul sito aziendale”.

L’Azienda ha inoltre trasmesso i pareri favorevoli del Comitato etico Interaziendale Città della Salute e della Scienza di Torino AO Ordine Mauriziano di Torino- ASL città di Torino, del 09 luglio 2020 e quelli del 16 settembre e 10 novembre 2021 e del 24 marzo 2022, adottati a seguito della presentazione di taluni emendamenti. I restanti pareri sarebbero stati richiesti ma non ancora rilasciati all’atto della presentazione dell’istanza di consultazione preventiva.

Da ultimo, l’Azienda, con nota del 25 luglio 2022, in riscontro al supplemento istruttorio formulato dall’Ufficio (nota del 20 giugno 2022, prot. n. 32869), nel confermare che si tratta di uno studio "no profit senza alcuna forma di finanziamento”, ha ulteriormente chiarito che:

i centri partecipanti agiscono in qualità di titolari autonomi del trattamento;

ogni Centro partecipante “detiene i propri [data base], mentre l'AOU Città della Salute, in qualità di promotore, detiene anche i data base con i dati aggregati e anonimi trasmessi dai […] Centri”;

“Per quanto riguarda la conservazione e il ciclo di vita del trattamento, il data base anagrafico viene conservato per 12 mesi e poi eliminato come ulteriore misura di sicurezza, il data base informativo pseudoanonimizzato viene conservato per 5 anni e poi eliminato. Successivamente ai 5 anni viene conservato solo il data base con i dati in forma aggregata e con applicazione delle misure di sicurezza indicate nella DPIA”;

“Per quanto riguarda le tecniche di anonimizzazione che saranno impiegate, esse consisteranno in mascheramento, aggregazione e aggiunta di rumore statistico”.

L’Azienda ha pertanto trasmesso una nuova versione della valutazione d’impatto e dell’informativa aggiornata alla luce dei chiarimenti da ultimo forniti.

In relazione alle tecniche di aggregazione e anonimizzazione dei dati, l’Azienda ha rappresentato che il “database aggregato (anonimo)” è costituito dalla “tabella con cui i dati del singolo centro vengono conservati […] che viene inviato dai centri al Promotore”. “L'anonimizzazione dei dati sarà ottenuta attraverso molteplici metodologie finalizzate a minimizzare il rischio di re-identificazione dei soggetti coinvolti nello studio”. In particolare, l’Azienda ha descritto che: “sul database aggregato: [è prevista la] rimozione della colonna relativa alla settimana a cui i dati si riferiscono (suppression); aggiunta di 3 database con dati di sintesi al database contenente i dati reali. I database di sintesi saranno ottenuti con la tecnica del variational autoencoders, avranno dimensioni identiche al database originario e saranno concatenati lungo l'asse orizzontale al database originario. ln tal modo un potenziale aggressore che ottenga i dati, con maggiore difficoltà potrà acquisire nuove informazioni certe sui soggetti coinvolti avendo per ogni variabile 4 possibili scelte. Soltanto gli sperimentatori del centro titolare dei dati e del centro promotore saranno a conoscenza di quali colonne contengono i dati reali per consentire il denoising del database; il nome delle colonne sarà eliminato; a ciascuna colonna sarà sommato un numero intero casuale tra 2 e 4 (noise addition). Soltanto gli sperimentatori del centro titolare dei dati e del centro promotore conosceranno la sequenza di numeri interi sommata al database (per consentire il denoising)”.

2. La normativa applicabile

Il trattamento di dati personali per scopi di ricerca scientifica deve essere effettuato nel rispetto del Regolamento, del Codice, delle Prescrizioni relative al trattamento dei dati genetici (se necessario) e delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, nonché delle Regole deontologiche che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5 del d.lgs. 10 agosto 2018, n. 101).

Con specifico riferimento al perseguimento di scopi di ricerca scientifica in campo medico, biomedico e epidemiologico, si evidenzia che essi sono ammessi previa acquisizione del consenso dell'interessato. Tale presupposto non è necessario  “[...] quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante ai sensi dell'articolo 36 del Regolamento” (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

In tali ultimi casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale e deve essere sottoposto a preventiva consultazione del Garante, ai sensi dell'articolo 36 del Regolamento (art. 110 del Codice, art. 9, par. 2, lett. j) e par. 4 del Regolamento).

L’art. 110, comma 1, ultimo capoverso del Codice rappresenta infatti una norma di chiusura volta a consentire che i trattamenti di dati personali che si sarebbero dovuti fondare sul consenso degli interessati, che non è possibile acquisire, possano comunque essere svolti quando diversamente gli scopi del trattamento non possono essere perseguiti (ed esempio attraverso l’uso di dati anonimi o coinvolgendo interessati contattabili).

Esso si colloca nel solco dello spazio normativo che il Regolamento deferisce alla normativa nazionale o unionale ai sensi all’art. 9, par. 2, lett. j). Tale disposizione ammette che le particolari categorie di dati possano essere trattate se “il trattamento è necessario a fini di [...] di ricerca scientifica in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

L’art. 89, par. 1 del Regolamento dispone, in particolare, che “Il trattamento a fini [...] di ricerca scientifica è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo [...]”.

Nel trattamento delle particolari categorie di dati per scopi di ricerca, l’individuazione di misure appropriate ai sensi dell’art. 89 del Regolamento costituisce pertanto un elemento di liceità del trattamento, tenuto anche conto dello specifico regime previsto per questa tipologia di trattamenti (cons. 33 e 50 e art. 5, par. 1, lett. b) e e) del Regolamento).

Proseguendo nell’indicazione delle principali norme di protezione dei dati personali rilevanti nella fattispecie in esame, si evidenzia che per pseudonimizzazione si intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Cons. 26 e art. 4 (5) del Regolamento) e che la normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Cons. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Il dato anonimizzato, invece, è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

In relazione agli obblighi informativi, qualora i dati siano ottenuti presso terzi, il titolare del trattamento può non rendere le informazioni di cui ai paragrafi da 1 a 4 dell’art. 14 del Regolamento, nella misura in cui la comunicazione di tali informazioni risulti impossibile o implichi uno sforzo sproporzionato. Ciò, in particolare, nell’ambito dei trattamenti svolti per finalità di ricerca scientifica, ferme restando le condizioni e le garanzie di cui all'articolo 89, par. 1 del Regolamento. In tali casi, il titolare del trattamento è comunque tenuto ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni (art. 14, par. 5, lett. b) del Regolamento). Sul punto, l’art. 6, comma 3 delle Regole deontologiche, dispone che “Quando i dati sono raccolti presso terzi, ovvero il trattamento effettuato per scopi statistici o scientifici riguarda dati raccolti per altri scopi, e l’informativa comporta uno sforzo sproporzionato rispetto al diritto tutelato, il titolare adotta idonee forme di pubblicità (…)” indicando delle specifiche modalità a titolo esemplificativo.

Altro profilo di estremo rilievo in materia di protezione dei dati personali è l’individuazione dei ruoli di titolare (artt. 4, n. 7 e 24) e responsabile (art. 4, n. 8 e 28). Da ciò, infatti, deriva non solo la distribuzione delle relative responsabilità ma anche la possibilità per gli interessati di conoscere il soggetto cui potersi rivolgere per esercitare i diritti di cui agli artt. da 15 a 22 del Regolamento, in relazione al trattamento dei propri dati personali.

Il titolare è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, determina le decisioni di fondo relative a finalità e modalità di un trattamento effettuato in base a uno dei presupposti di liceità di cui agli artt. 6 e 9 del Regolamento (cfr. “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato Europeo per la protezione dei dati, il 7 luglio 2021).

La figura del responsabile rimane invece connotata dallo svolgimento di operazioni di trattamento di dati personali delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse in termini di conoscenze specialistiche, di affidabilità e risorse per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento (cfr. il considerando 81, del Regolamento), delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare.

Ai fini della individuazione in concreto del ruolo svolto, in termini di titolare o responsabile, delle figure che effettuano trattamenti di dati personali è, quindi, essenziale esaminare sul piano sostanziale e non formale le attività in concreto svolte da tali soggetti in relazione alle attività di ricerca scientifica.

3. Le valutazioni dell’Autorità

3.1. Le basi giuridiche del trattamento dei dati

L’Azienda, in qualità di Promotore dello Studio e di titolare del trattamento, come previsto dall’art. 110 del Codice e 36 del Regolamento, ha presentato un’istanza di consultazione preventiva al Garante fornendo il protocollo dello Studio e la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello stesso. Dalla documentazione esaminata, come da ultimo integrata alla luce delle osservazioni formulate dall’Ufficio in sede di istruttoria preliminare, il Garante ritiene che l’Azienda abbia correttamente individuato le basi giuridiche del trattamento, specificando adeguatamente i motivi che giustificano l’impossibilità di riuscire ad informare gli interessati e acquisirne un valido consenso, secondo quanto previsto dal punto 5.3 delle Prescrizioni.

Si fa riferimento, in particolare, ai “motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati” del punto 5.3, numero 2, delle Prescrizioni. Il Garante ritiene infatti che l’Azienda abbia correttamente documentato come il tentativo di contattare ogni singolo paziente della popolazione arruolata nello studio implicherebbe uno sforzo sproporzionato, specificando che esso richiederebbe “un impiego di personale sanitario per un minimo di 437 giorni a tempo pieno, con una stima al ribasso che non tiene conto del fatto che i genitori verosimilmente non verrebbero insieme in un unico appuntamento”, tenuto anche conto che si tratta di uno studio "no profit senza alcuna forma di finanziamento” e che la necessità di convocare in ospedale anche i minori, dei quali pure è necessario ottenere l’assenso scritto, avrebbe un impatto sulla frequenza scolastica e renderebbe necessario “programmare gli appuntamenti dedicati alla firma dei consensi solo nel pomeriggio, quindi raddoppiando il tempo necessario per ottenere tutti i consensi” sino ad arrivare a “2,3 anni per ottenere, in linea teorica, tutti i consensi”.

Il Garante non ritiene, viceversa, di poter considerare quale valida giustificazione dell’impossibilità di acquisire un valido consenso il richiamo al “bias di selezione dovuto al fatto che a esprimere il consenso sarebbero più facilmente soggetti sensibili alla ricerca e/o alle questioni cliniche oggetto della stessa, appartenenti a uno status socio economico mediamente più elevato e che abbiano la possibilità di investire circa un'ora del loro tempo e venire in ospedale per firmare dei consensi informati”, in quanto trattasi di una motivazione che, evocando un rischio sempre potenzialmente sussistente laddove il trattamento si basi sul consenso degli interessati, prescinde dalle specificità del caso in esame e non è prevista tra quelle indicate al punto 5.3 delle Prescrizioni.

Sotto altro profilo, in conformità alla disposizione di cui all’art. 110 , comma 1, secondo periodo del Codice, in base alla quale il programma di ricerca deve essere preventivamente oggetto di motivato parere favorevole dei competenti comitati etici a livello territoriale, , resta fermo che i Centri partecipanti potranno dare inizio ai trattamenti dei dati personali necessari per la realizzazione dello Studio solo dopo l’ottenimento dei pareri favorevoli dei rispettivi comitati etici, in quanto la presenza di tale elemento si configura quale condizione di liceità del trattamento dei dati personali per le finalità in esame, laddove non sia possibile acquisire il consenso degli interessati (cfr.  provv. n. 202 del 29 ottobre 2020, doc. web 9517401 e provv. n. 406 del 1° novembre 2021, doc. web 9731827).

3.2. Misure ai sensi dell’art. 89 del Regolamento

Il Garante prende favorevolmente atto di come l’Azienda, nello Studio presentato, abbia dato corretta applicazione all’art. 89 del Regolamento, prevedendo che i dati siano oggetto di robuste tecniche di minimizzazione durante tutta la fase del trattamento. In particolare, tenuto conto della natura epidemiologica dello Studio e della numerosità del campione, l’Azienda, anche nel rispetto dei principi di responsabilizzazione e di privacy by design, ha verificato la possibilità di perseguire lo scopo di ricerca attraverso la raccolta e l’analisi di dati aggregati (artt. 5, par. 2, 24 e 25 del Regolamento).

Si ritiene invece necessario fornire specifiche indicazioni e chiarimenti in ordine all’anonimizzazione dei dati anche al fine di consentire, come previsto dal titolare del trattamento, la condivisione degli stessi con la comunità scientifica e per poterli conservare oltre il termine previsto per lo svolgimento dello Studio (5 anni).

Nel Protocollo dello Studio, l’Azienda ha dichiarato che “i dati verranno trasmessi dai centri partecipanti in forma anonima e aggregata” al Promotore.

Invero, i dati raccolti dal titolare del trattamento non possono considerarsi anonimi. A tale riguardo, come sottolineato dal Garante europeo e del Comitato europeo per la protezione dei dati, la distinzione tra categorie di dati personali e non personali è difficile da applicare nella pratica, ciò in quanto da una combinazione di dati aggregati è possibile desumere o generare dati personali, cioè dati relativi a un individuo identificato o identificabile, ancor più nel contesto del trattamento di dati sanitari (cfr. EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space, punto 4.2. (40)).

In particolare, nel caso di specie deve tenersi conto che il processo di presunta anonimizzazione (invero aggregazione e generalizzazione dei dati), operata presso i singoli Centri partecipanti, rappresenta solo una fase di una serie ben più ampia di operazioni di trattamento. I dati così elaborati presso i Centri sono infatti destinati a confluire presso il Promotore.

Ogni tecnica di anonimizzazione che prevede la partecipazione di più soggetti sconta un’inevitabile perdita di efficacia delle misure implementate da ciascuno di essi per ricondurre ad un livello accettabile il rischio di re-identificazione degli interessati. Infatti, la mole di informazioni disponibili presso il soggetto centralizzato (nel caso di specie il Promotore) -proprio per il suo ruolo di collettore delle informazioni provenienti dai diversi soggetti coinvolti (nel caso di specie i Centri partecipanti) - è superiore rispetto a quelle disponibili presso i soggetti conferenti, con un conseguente significativo aumento del rischio di re-identificazione degli interessati.

Per assicurare l’effettiva anonimizzazione dei dati raccolti, il soggetto collettore deve implementare quindi ulteriori misure. In particolare, per quanto riguarda le operazioni di generalizzazione, si ritiene necessario che il titolare del trattamento ridefinisca le classi di equivalenza, ossia gli insiemi di interessati caratterizzati dalle stesse combinazioni di attributi (cd “quasi-identificatori”, ad esempio indicatori di localizzazione, di età, di appartenenza a specifiche categorie sociali), in modo tale da garantire una numerosità minima per ciascuna classe di equivalenza nel dataset oggetto di pubblicazione.

Con riferimento invece alle tecniche di aggregazione, è necessario considerare che la disponibilità di un numero elevato di statistiche aggregate aumenta il potere identificativo di ciascuna di esse, fino alla possibile completa ricostruzione di un dataset (cd “reconstruction attack”). Per evitare ciò, il numero delle statistiche oggetto di diffusione deve essere significativamente inferiore rispetto al numero delle variabili che si intendono divulgare. In altri termini, assicurando la diffusione di un numero contenuto di statistiche, si evita che attraverso calcoli matematici, si possa pervenire all’identificazione dei singoli soggetti facenti parte del campione.

Tutto ciò premesso, si ritiene necessario che l’Azienda, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, indicato in 5 anni, e comunque in ipotesi di condivisione dei dati con soggetti terzi, con riguardo alle tecniche di generalizzazione, ridefinisca le classi di equivalenza al fine di garantire una numerosità minima per ciascuna di esse nel dataset oggetto di pubblicazione, ovvero di condivisione. Nel caso di specie, si ritiene a tal fine congrua una soglia di almeno 20 unità.

In relazione alle tecniche di aggregazione, si ritiene necessario altresì che l’Azienda, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, indicato in 5 anni, e comunque in ipotesi di condivisione dei dati con soggetti terzi, in considerazione del numero di variabili oggetto di aggregazione, assicuri che il numero di statistiche aggregate da rendere conoscibili sia significativamente inferiore rispetto al numero delle variabili considerate; ciò, al fine di scongiurare il rischio di ricostruzione di dati riferibili a singoli individui.

Inoltre, nell’ambito delle verifiche periodiche che il titolare del trattamento è tenuto a svolgere anche in riferimento alla persistenza dell’efficacia delle misure di anonimizzazione dei dati e all’evoluzione tecnologica, si ritiene necessario che l’Azienda si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nel dataset (cfr., sul punto, il Parere del 30 giugno 2022, disponibile in www.gpdp.it doc. web 9791886).

3.3. I ruoli di protezione dei dati personali dei soggetti coinvolti nello Studio

Nella documentazione trasmessa dall’Azienda, nel rappresentare la natura multicentrica dello Studio, viene dichiarato che vi partecipano, in qualità di Centri partecipanti, le strutture sanitarie indicate nella documentazione in atti e chiarito che essi operano quali autonomi titolari del trattamento. L’Azienda ha conseguentemente modificato l’informativa sul trattamento dei dati personali predisposta nei confronti degli interessati, specificando i ruoli di autonomi titolari del trattamento sia dell’Azienda in qualità di promotore dello Studio che dei Centri partecipanti. L’Azienda ha altresì rappresentato che per la conduzione dello Studio si avvale di un “fornitore del sistema informativo, con il quale viene svolta quotidianamente l'attività clinica per tutte le specialità aziendali, […], HIS Trakcare, InterSystem, […],  nominato Responsabile esterno del trattamento” e che “Non è previsto il trasferimento di dati al di fuori dell'Unione Europea; i dati saranno comunicati al di fuori dei componenti del Gruppo di Ricerca solo ed esclusivamente in forma aggregata a fini scientifici (invio di articoli a riviste scientifiche, presentazioni a congressi medici, ecc). La pubblicazione su riviste scientifiche verrà effettuata previa analisi dei dati e ulteriore aggregazione in una forma che non consenta la singolarizzazione o l'inferenza sulle individualità”.

A tale riguardo, si ritiene che la struttura organizzativa implementata per la realizzazione dello Studio sia tale da escludere che soggetti terzi non autorizzati possano essere coinvolti nelle operazioni di trattamento dei dati sulla salute dai pazienti arruolati nel richiamato Studio e conforme al principio di correttezza e trasparenza (art. 5, par. 1 lett. a) del Regolamento).

3.4. Ulteriori misure volte a garantire l’effettività del principio di trasparenza nei confronti dei pazienti arruolati nello Studio

In via generale, si prende favorevolmente atto delle misure intraprese dall’Azienda per garantire l’effettività del principio di correttezza e trasparenza nei confronti degli interessati.

Con specifico riguardo alle modalità per fornire le informazioni agli interessati non contattabili, l’Azienda, visti i rilievi formulati dall’Ufficio nel corso dell’attività istruttoria, ha trasmesso un nuovo documento informativo, redatto ai sensi dell’art. 14 del Regolamento, nel quale è stato correttamente indicato il ruolo dei Centri partecipanti quali autonomi titolari del trattamento dei dati personali e dichiarato che essa verrà “pubblicata sul sito aziendale”.

Ciò premesso, tenuto conto che lo Studio coinvolge n. 7 Centri partecipanti oltre al Promotore, al fine di assicurare l’effettiva applicazione dei richiamati principi di correttezza e trasparenza, si ritiene necessario, nel caso in esame, che l’Azienda renda pubbliche le informazioni da fornire agli interessati, ai sensi dell’art. 14 del Regolamento, attraverso una specifica inserzione anche sui siti internet istituzionali dei centri di sperimentazione coinvolti nello Studio.

3.5. Le misure di sicurezza implementate

L’Azienda, quale titolare del trattamento, come sopra richiamato e come richiesto dalla procedura ex artt. 110 del Codice e 36 del Regolamento, ha presentato al Garante la valutazione di impatto sulla protezione dei dati personali connessa ai trattamenti necessari per la realizzazione dello Studio, come integrata nel corso del procedimento istruttorio, nella quale sono individuate in particolare le misure tecniche e organizzative sinteticamente descritte nel paragrafo 1, previste per la sicurezza dei dati trattati.

Deve notarsi infatti che l’implementazione delle misure di cui all’art. 89 del Regolamento, volte, in particolare, all’effettiva applicazione del principio di minimizzazione, non esime il titolare del trattamento dall’introdurre altresì idonee misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento, per un’effettiva applicazione del principio di integrità e riservatezza dei dati (art. 5, par. 1, lett. f) del Regolamento).

Da tale documento, oltre a quanto evidenziato nel precedente paragrafo 1, emerge che l’Azienda, al fine di garantire il rispetto del principio di integrità e riservatezza, ha predisposto misure appropriate e idonee per tutelare i diritti e le libertà della coorte degli interessati coinvolti nello Studio.

È stata inoltre condotta un’analisi esauriente dei rischi connessi ai trattamenti di dati personali necessari al perseguimento dello scopo della ricerca in esame, al fine di determinare in particolare l’origine, la natura, la gravità di tali rischi e le misure implementate per mitigarli (artt. 5, par. 2 lett. f), e 32 del Regolamento).

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento, esprime all’ Azienda Ospedaliero Universitaria A.O.U. Citta della Salute e della Scienza di Torino, con Sede legale in Corso Bramante, 88

- 10126 Torino , Cod. fiscale - P. IVA: 10771180014, parere favorevole in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, riferiti alla coorte di pazienti arruolati nello studio multicentrico, retrospettivo no profit, denominato "Analisi accessi in emergenza-urgenza per patologia NPI”, alle seguenti condizioni:

1. l’Azienda, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, indicato in 5 anni, e comunque in ipotesi di condivisione dei dati con soggetti terzi, con riguardo alle tecniche di generalizzazione, ridefinisca le classi di equivalenza al fine di garantire una numerosità minima per ciascuna di esse, nel dataset oggetto di pubblicazione ovvero di condivisione. Nel caso di specie, si ritiene a tal fine congrua una soglia di almeno 20 unità (par. 3.2):

2. l’Azienda, al termine del periodo di conservazione dei dati per lo svolgimento dello Studio, indicato in 5 anni, e comunque in ipotesi di condivisione dei dati con soggetti terzi, in considerazione del numero di variabili oggetto di aggregazione, assicuri che il numero di statistiche aggregate da rendere conoscibili al fine di scongiurare il rischio di ricostruzione di dati riferibili a singoli sia significativamente inferiore rispetto al numero delle variabili considerate (par. 3.2);

3. l’Azienda si impegni a rimuovere ogni singolarità, qualora, con qualsiasi mezzo, ne venga a conoscenza in una fase successiva all’applicazione delle predette tecniche di anonimizzazione e a tenere traccia di tali eventi in modo da ripetere la valutazione del rischio di re-identificazione al raggiungimento del 1% di singolarità individuate sul totale di record inclusi nel dataset;

4. l’Azienda renda pubbliche le informazioni da fornire agli interessati, ai sensi dell’art. 14, par. 5, lett. b) del Regolamento e 6.3. delle le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, Allegato A5 al Codice, attraverso una specifica inserzione anche sui siti internet istituzionali dei centri di sperimentazione coinvolti nello Studio (par. 3.4).

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 2 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei