Provvedimento del 14 settembre 2023 [9941205]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 9941205]

Provvedimento del 14 settembre 2023

Registro dei provvedimenti
n. 400 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTI, in particolare, gli artt. 35 e 36 del Regolamento relativi, rispettivamente, alla valutazione d'impatto sulla protezione dei dati e alla consultazione preventiva dell’Autorità;

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO in particolare l’art. 110 comma 1, del Codice sul trattamento di dati personali per ricerca medica, biomedica e epidemiologica, dispone

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637, di seguito “Regole deontologiche”);

VISTE le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegato n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web 9124510, di seguito “Prescrizioni”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività ispettiva e procedimentale svolta

L’Ufficio del Garante, in forza dell’ordine di servizio n. XX del XX, ha effettuato nei giorni XX e XX gli accertamenti ispettivi ai sensi dell’art. 58, par. 1, lett. a), e) ed f) del Regolamento e degli artt. 157 e 158 del Codice, nonché ai sensi degli artt. 21 e 22 del Regolamento n. 1/2019 del Garante (G.U. n. 106 dell’8 maggio 2019), presso l’Istituto privato di ricovero e cura a carattere scientifico- IRCCS, MultiMedica S.p.A. (di seguito “MultiMedica” o “Istituto”), al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, in particolare in relazione ai trattamenti svolti per scopi di ricerca medica, biomedica e epidemiologica.

1.1. Accertamento del XX

Nella giornata del XX l’Istituto, dopo aver descritto la propria struttura e organizzazione, ha dichiarato di svolgere circa un centinaio di progetti annui di ricerca, comprese le sperimentazioni cliniche, incluse quelle interne, finanziate dal Ministero della salute. A tale riguardo, l’Istituto ha dichiarato che “l’ufficio responsabile che analizza i bandi di finanziamento (Grant office) supporta i ricercatori nelle “application” [ossia nella], presentazione del progetto di ricerca, ovvero in tutte quelle attività che sono di carattere amministrativo, di budget, di preparazione della documentazione necessaria per partecipare al bando; assiste il ricercatore anche nella proposta progettuale. Una volta che la proposta progettuale è stata approvata dal Ministero, risulta aggiudicataria del finanziamento”.

In relazione ai progetti di ricerca finanziati dal Ministero della salute, l’Istituto ha evidenziato che il servizio data management è a supporto dei ricercatori (study coordinator) dal momento della proposta del progetto, al suo sviluppo, fino alla fine dello stesso. In particolare, si occupa dello studio di fattibilità interna e di supporto nella predisposizione di tutta la documentazione che deve essere presentata, per l’approvazione, al Comitato Etico competente territorialmente.

Una volta ottenuto il parere favorevole del Comitato Etico -che approva tutta la documentazione del progetto di ricerca: in particolare il modello di consenso informato che può prevedere specifiche autorizzazioni rivolte ai pazienti per la raccolta dei campioni biologici o dei dati genetici- il progetto è proposto al paziente dal medico che raccoglie il consenso informato attraverso un modulo cartaceo e che lo trasmette all’ufficio data management.

In questa fase, l’addetto al data entry carica i dati dei pazienti sui data base rappresentandoli in due record: il primo, riporta i dati anagrafici dei pazienti associati ad un codice alfanumerico (tipicamente generato a discrezione dell’operatore dall’acronimo dello studio, al quale viene apposto un numero progressivo), il secondo, nel quale sono raccolte tutte le informazioni cliniche del paziente, necessarie per lo studio. Ciò sulla base delle indicazioni riportate nel protocollo dello studio stesso.

L’addetto al data entry è abilitato all’accesso a tutti i dati clinici del paziente. La fase di caricamento avviene estraendo manualmente dal repository della refertazione, attraverso un’operazione di “copia e incolla”, solo quelli necessari allo studio. Il controllo sulla qualità del dato è affidato ad altro addetto al data entry (four eyes check). Ulteriori attività di monitoraggio sono effettuate da un terzo addetto del medesimo ufficio direttamente sulle cartelle cliniche e sui referti ambulatoriali. La codifica adottata per ogni paziente è unica e persistente nel tempo, pertanto non vi è di fatto nessuna distinzione tra dato storico e dato prospettico. In dettaglio, ed esempio, nel caso di uno studio prospettico, il sistema di refertazione consente, potenzialmente, all’addetto abilitato, la visione di tutti i referti relativi ad un medesimo paziente ivi incluse informazioni retrospettive eventualmente presenti, tuttavia non necessarie.

Nello specifico, allo stato, i dati personali trattati per finalità di ricerca sono riconducibili a quelli trattati per finalità di cura.

In relazione alle autorizzazioni conferite ai dipendenti sul trattamento dei dati personali di cui vengono a conoscenza nell’espletamento delle proprie mansioni, l’Istituto ha rappresentato che “i dipendenti in fase di assunzione ricevono la medesima autorizzazione al trattamento dei dati personali e che allo stato sono previsti specifici profili di autorizzazione all’accesso ai sistemi informatici in relazione ai diversi ruoli svolti all’interno della società”, chiarendo che l’autorizzazione al trattamento dei dati per scopi di la ricerca scientifica è ricompresa nel primo punto del modello acquisito agli atti che fa riferimento alla “tutela della salute degli interessati, ossia prevenzione, diagnosi, cura, riabilitazione”.
Con riferimento alla valutazione di impatto prevista per i progetti di ricerca “interni” finanziati dal Ministero della Salute ai sensi dell’art. 110, comma 1 del Codice, la Società ha infine dichiarato di aver effettuato le valutazioni di impatto relative ai progetti di ricerca svolti in contitolarità con la Rete Cardiologica; mentre con riguardo ai nuovi progetti sono in corso specifici assessment sui rischi correlati ai trattamenti in esame.

Nel corso del predetto accertamento ispettivo è stata inoltre acquisita la sezione del registro dei trattamenti relativa all’attività di ricerca scientifica che riporta le seguenti informazioni: “Denominazione del trattamento: PROGETTI; Finalità del trattamento Progetti basati su studi clinici e ricerca clinica; Software e database: applicativi di diagnostica, applicativi di trattamento e applicativi di condivisione, software generici e specifici anche cloud; Denominazione e dati di contatto del contitolare (se presente) In base allo studio; categorie di interessati PAZIENTI; categorie di dati: IDENTIFICATIVI, DATI C.D. PARTICOLARI (Pseudonimizzati) Categorie di destinatari a cui i dati sono o possono essere comunicati Ente coordinatore, ente partner, ente finanziatore enti terzi in base allo studio; Denominazione responsabili esterni (se presenti): enti terzi, in base allo studio; Paesi Terzi o organizzazioni internazionali verso cui i dati possono essere trasferiti: In base allo studio; Indicazione garanzie adottate per il trasferimento internazionale (se applicabile) In base allo studio”.

1.2. Accertamento del XX

Nella giornata del XX, è stato effettuato un accesso al sistema di refertazione (informatizzato) per simulare e verificare il processo di data entry dei dati raccolti per finalità di cura e poi utilizzati per scopi di ricerca. Tale accesso ha riguardo lo studio prospettico denominato “Retinal” (di seguito Studio), all’epoca ancora in corso e che prevede altresì la raccolta di campioni biologici e dati genetici che vengono analizzati presso la stessa MultiMedica.

La fase di data entry è gestita da addetti abilitati all’accesso delle cartelle cliniche dei pazienti, previa autorizzazione da parte dell’ufficio risorse umane e verifica delle funzioni da questi ultimi svolte (attraverso il sistema denominato “ticketing”). Essa consiste nella predisposizione di file excel e di documenti memorizzati all’interno di specifiche cartelle condivise del file system.

In particolare, l’Istituto ha rappresentato che nella sottocartella dedicata allo studio “Retinal” sono contenuti: documenti ufficiali dello Studio da sottoporre ai Comitati etici, documenti di lavorazione, tabelle di correlazione e status di avanzamento dello Studio. Una volta che la documentazione è completa i dati sono trasmessi al ricercatore per la realizzazione dello Studio. Lo Studio prevede una preliminare fase di arruolamento (enrollment) che non richiede alcuna analisi dei dati. Si tratta quindi una sorta di archivio documentale storico, sul quale gli addetti al data management non sono tenuti a svolgere alcuna attività di analisi.

Nella sottocartella “Attività di Studio” è presente un file excel denominato “Pazienti Arruolati” dove vengono registrati tutti i pazienti che entrano a far parte dello Studio, dopo il controllo formale della documentazione relativa al consenso “informato” per l’adesione volontaria alla ricerca scientifica.

Il file excel contiene una tabella che comprende i record dei pazienti che vengono identificati attraverso un codice che include un acronimo dello Studio e un numero progressivo. Si è potuto verificare che in tale tabella figurano altresì i seguenti dati personali: nome e cognome del paziente, data di nascita, data di arruolamento e che questi ultimi vengono classificati attraverso un meccanismo di “colorazione” dei record. Sul punto è stato precisato che tanto la nomenclatura adottata per gli attributi quanto la scelta e la rappresentazione delle classi è rimessa alla discrezionalità dell’addetto e può mutare da studio a studio, con potenziali impatti sull’interoperabilità del dato riferibile a uno stesso interessato quando esso è presente in differenti studi, nonché sull’accuratezza delle classificazioni adottate, dal momento che queste potrebbero variare da caso a caso. Ad esempio, con riferimento allo studio esaminato, è emerso che il campo “biobanca” sta ad indicare che lo studio prevede la raccolta e l’esame di campioni biologici.

I dati clinici dei pazienti presenti nel sistema di refertazione, vengono importati da tale archivio nella sottocartella denominata “webclus1/studi Clinici” deputata alla raccolta di tali informazioni. L’identificazione del paziente nel sistema di refertazione avviene previo inserimento di una chiave di ricerca. Tra le chiavi di ricerca possibili vi sono i dati anagrafici del paziente (nome, cognome e data di nascita) che l’addetto al data entry recupera dai documenti cartacei contenenti i consensi informati.

È altresì emerso che in tale fase è possibile visionare tutta la storia clinica del paziente disponibile presso MultiMedica ma che l’addetto, attraverso un’operazione manuale di “copia incolla” o “trascrizione”, acquisisce i soli dati di interesse per lo Studio. I record in cui sono inseriti i dati clinici rispondono a richieste specifiche del protocollo ed è cura dell’analista assicurare che non vi siano eccedenze di dati.

MultiMedica ha rappresentato inoltre che i dati clinici sono raccolti in una cartella collocata in un’altra area comune denominata “studi_clinici”. In relazione allo Studio esaminato, l’Istituto ha precisato che nella tabella contenente i dati sanitari, accanto ai codici alfanumerici identificativi dei pazienti, vi sono altresì gli identificativi diretti degli stessi, in quanto l’operazione di data entry è svolta in sede ambulatoriale da un professionista sanitario, nel caso di specie un “Ortottico”.

È altresì emerso che la verifica volta ad evitare che un medesimo paziente sia arruolato contestualmente in più studi clinici è gestita manualmente dagli addetti al data entry.

L’Istituto ha infine rappresentato di aver avviato un progetto denominato “GDPR e sicurezza” i cui dettagli sono descritti nel documento acquisito al verbale delle operazioni compiute del XX, (cfr. all. 2 – organigramma funzionale 221122_IRCCS1.pdf).

2. Violazioni contestate

Sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva, l’Ufficio- con atto del XX (prot. n. XX), che qui deve intendersi integralmente richiamato- ha avviato, ai sensi dell’art. 166, comma 5 del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti IRCCS - MultiMedica S.p.A, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto l’Ufficio ha notificato a MultiMedica S.p.A., sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività ispettiva e istruttoria, nonché delle successive valutazioni dell’Ufficio, che risulta accertato che i trattamenti di dati personali dalla stessa svolti per scopi di ricerca in campo medico, biomedico ed epidemiologico e in particolare per la realizzazione dello studio “Retinal”, sono stati effettuati in violazione degli artt. 5, par.1, lett. c) e f) e par. 2, 24, 25 e 32 del Regolamento e 110 del Codice.

Più nello specifico in relazione a ciascuna delle violazioni contestate è stato rilevato quanto segue.

2.1. Obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita

Gli accertamenti ispettivi hanno riguardato i trattamenti di dati personali per scopi di ricerca scientifica effettuati da MultiMedica, in particolare per lo svolgimento di ricerche finanziate dal Ministero della salute, ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, che comportano l’uso di dati sulla salute, anche genetici.

In particolare, si è potuto verificare che i trattamenti di dati personali a tali fini necessari e in particolare quelli di selezione, raccolta, archiviazione e pseudonimizzazione dei dati, sono rimessi quasi integralmente ad operazioni manuali svolte dagli addetti.

La circostanza che in tali operazioni il rispetto dei principi applicabili al trattamento dei dati personali e in particolare quelli di minimizzazione, esattezza, integrità e riservatezza, sia integralmente rimesso all’intervento manuale, successivo e discrezionale degli addetti, attraverso mere misure organizzative -che non sono, e per loro natura non potrebbero essere, integrate nel trattamento fin dalla progettazione e per impostazione predefinita-, determina la violazione del principio di privacy by design e by default, di cui all’art. 25 del Regolamento.

2.2. Il principio di minimizzazione

La circostanza, già sopra evidenziata, che l’addetto al data entry possa accedere al sistema di refertazione e visualizzare l’intera documentazione medica del paziente, ivi inclusa quella non necessaria per lo studio che si intende realizzare, comporta la violazione del principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del Regolamento, che richiede l’implementazione di adeguate garanzie e misure affinché al titolare di tratti dati “adeguati, pertinenti e limitati” a quanto necessario al perseguimento dello scopo della raccolta.

Nella fattispecie in esame è stato accertato che MultiMedica non ha implementato misure tecniche atte, ad esempio, a escludere l’accesso a dati retrospettivi negli studi prospetti e viceversa; né, negli studi retrospettivi, a limitare l’accesso ai referti relativi al periodo di osservazione indicato nel protocollo; né a realizzare un sistema di classificazione dei referti che possa escludere l’accesso a quelli non pertinenti, ferma restando la possibilità, in caso di motivata richiesta, di estendere il novero di informazioni accessibili per un singolo studio.

Dagli accertamenti effettuati è altresì emerso che i file contenenti i dati dei pazienti arruolati nella sperimentazione “Retinal”, in particolare quello denominato “DB_RETINAL_con dati”, oltre che recare per ciascun paziente uno pseudonimo creato attraverso l’assegnazione di un codice numerico progressivo, già riportato nel file denominato “pazienti arruolati”, contiene anche nome, cognome e data di nascita dei pazienti oltre che alcuni dati sanitari necessari per lo Studio. A tale riguardo, seppure l’Istituto ha evidenziato che ciò deriva dal fatto che la fase di data entry sarebbe stata svolta in sede ambulatoriale da un professionista sanitario, in ogni caso il titolare del trattamento non ha previsto alcuna misura, tecnica o organizzativa per escludere tale eccedenza, con ciò determinandosi una violazione del richiamato principio di minimizzazione (art. 5, par. 1, lett. c) del Regolamento).

2.3. L’integrità e la riservatezza dei dati

Gli elementi emersi nel corso delle operazioni compiute hanno portato altresì alla contestazione della violazione da parte di MultiMedica del principio di integrità e riservatezza dei dati, di cui all’art. 5, par. 1, lett. f) del Regolamento e dell’obbligo di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, di cui all’art. 32 del Regolamento.

Ci si riferisce in particolare a:

l’assenza di misure atte ad escludere che chi accede al sistema di refertazione per scopi di ricerca scientifica visualizzi l’intera documentazione refertata del paziente, ivi inclusa quindi quella non necessaria a seconda della tipologia dello studio che si intende realizzare;

l’applicazione di una misura di codifica pienamente intellegibile e dalla semantica particolarmente semplice, consistente nella mera attribuzione di un codice numerico progressivo e di un acronimo dello Studio generati manualmente dall’addetto;

l’impiego delle elementari funzionalità di “copia e incolla” rese disponibili dagli applicativi di data entry per il caricamento delle informazioni dal data base di refertazione ai file utilizzati per la ricerca, che si prestano facilmente ad errori umani da parte degli addetti con possibili conseguenti rischi per gli interessati (ad esempio, per effetto del caricamento del dato personali in un file di destinazione errato), fino alla possibile occorrenza di violazioni di dati personali, ai sensi dell’art. 33 del Regolamento;

l’assenza di autorizzazioni e istruzioni specifiche per gli addetti al trattamento dei dati personali per scopi di ricerca scientifica.

2.4. Trattamenti di dati personali per scopi di ricerca in campo medico, biomedico o epidemiologico

Gli accertamenti ispettivi svolti hanno riguardato, in particolare, i trattamenti di dati personali necessari per la realizzazione di ricerche rientranti in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502 e più nello specifico il progetto “Retinal”.

A tale riguardo, è risultato accertato, per esplicita dichiarazione del titolare del trattamento, che MultiMedica non ha né svolto e né pubblicato la valutazione d’impatto ai sensi dell’art. 35 del Regolamento, in relazione al richiamato studio “Retinal” né in relazione agli altri studi svolti sulla base del medesimo presupposto normativo, ciò in violazione dell’art. 110, comma 1 del Codice.

2.5. Principio di accountability

Per tutto quanto già rilevato, è risultata altresì accertata la violazione del principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24 del Regolamento, non avendo il titolare del trattamento, in termini generali, dimostrato una condotta attiva volta a garantire l’effettiva applicazione dei principi di protezione dei dati personali attraverso l’implementazione e il constante riesame e aggiornamento di misure specifiche e adeguate anche in relazione al particolare contesto in cui si svolgono le operazioni di trattamento esaminate e ai correlati rischi per i diritti e le libertà degli interessati.

3. Le memorie difensive

Con nota del XX (prot. n. XX), MultiMedica ha fatto pervenire le proprie memorie difensive non chiedendo -al fine “di evitare duplicazioni o meri rinvii a quanto rappresentato negli scritti difensivi”-, di essere sentita in audizione, ai sensi dell’art. 166, comma 5 del Codice.

Nei richiamati atti, con specifico riferimento alle contestazioni mosse dall’Ufficio nell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5 del Codice, MultiMedica ha rappresentato in particolare quanto segue.

In termini generali, MultiMedica ha dichiarato che “la gestione del trattamento dei dati personali e la definizione dei processi di trattamento dei dati personali condotte nel XX all’epoca della prima applicazione del Regolamento UE 2016/679 con la designazione di un responsabile della protezione dei dati, è stata oggetto di uno specifico piano di revisione che si è avviato nel mese di XX con il subentro dell’attuale responsabile della funzione Sistemi Informativi incaricato anche del coordinamento e gestione dell’area Sicurezza e Protezione dei Dati e con l’individuazione di un nuovo responsabile della protezione dei dati personali che, nelle more del passaggio di consegne che era in corso, ha assunto l’incarico per poter presenziare all’accertamento ispettivo”.

L’Istituto ha quindi allegato uno schema di contratto presentato della società XX denominato Proposta di Supporto Cyber Security & Privacy versione del XX. Dal documento emerge che “MultiMedica [...], al fine di migliorare lo stato dei propri presidi organizzativi e tecnologici per la protezione delle informazioni aziendali e dati personali, ha richiesto a XX un supporto per l’esecuzione di un’attività progettuale in ambito Cyber Security e Privacy”. [...] “L’incarico di XX, nell’ambito della presente Proposta, sarà focalizzato a prestare assistenza al Cliente nella realizzazione di un’assessment in ambito Cyber Security & Privacy al fine di valutare il livello dei presidi attuali e nell’adozione di un Modello di Governo della Cyber Security & Privacy. L’assistenza fornita da XX sarà prevista nel periodo XX – XX”. Lo schema di contratto risulta firmato dalla società di consulenza proponente ma non anche dalla MultiMedica.

La memoria prosegue con uno specifico paragrafo (n. 1) denominato “Con riferimento all’addebito in merito alla violazione dei principi inerenti all’obbligo in materia di privacy by design, la minimizzazione e l’integrità e la riservatezza dei dati”.

A tale riguardo è stato dichiarato che “[...] il trattamento dei dati personali viene effettuato in realtà da parte di addetti altamente qualificati, che hanno, in virtù del loro ruolo, le competenze per trattare adeguatamente le categorie particolari di dati personali. Tali soggetti da sempre operano come soggetti autorizzati al trattamento dei dati personali ricevendo specifiche istruzioni da parte della Società”.

La Società ha quindi dichiarato che “nell'ambito delle attività di rafforzamento delle misure tecniche e organizzative che la società [...] aveva già avviato prima dell’accertamento ispettivo” [...] “è stato previsto un aggiornamento dell’atto di autorizzazione al trattamento dei dati personali, in cui è stata esplicitata la finalità di ricerca scientifica”. Anche tale documento è stato trasmesso in atti.

Con riferimento alle tecniche di pseudonimizzazione dei dati MultiMedica ha dichiarato di avere “avviato una ricerca sul mercato per individuare uno strumento informatico per la generazione di uno pseudonimo attraverso un metodo solido, non sequenziale e randomizzato”.

Con riferimento alla contestazione della violazione dei principi di minimizzazione e di integrità e riservatezza dei dati, l’Istituto ha dichiarato di avere “avviato da tempo un processo di valutazione che permetta l'identificazione di una soluzione finalizzata all'estrazione dei dati necessari per le ricerche senza accesso a dati personali e/o di refertazione non pertinenti rispetto al fine di ricerca. Allo stato attuale, nell’ambito delle attività di ricerca scientifica, MultiMedica utilizza sia dati strutturati ovvero presenti in database organizzati secondo schemi e tabelle rigide sia dati non strutturati ovvero non conformi ad un modello dati. Per quanto riguarda i dati strutturati di diagnostica di laboratorio è già stata testata con successo (per un progetto di ricerca scientifica che richiedeva l'estrazione di esiti di analisi di laboratorio) una soluzione che consente di estrapolare in modo automatico i dati necessari a fini di ricerca. Si conferma che l’estrazione di dati strutturati di laboratorio avverrà in futuro con questa metodologia. L’adozione di strumenti più evoluti per l’estrazione di dati non strutturati (ad esempio, sotto forma di testo libero nelle refertazioni) è in corso di valutazione anche tenendo conto dello stato dell'arte, dei progetti in corso (in particolare la digitalizzazione della cartella clinica), dei costi di attuazione e della complessità di implementazione legata alla variabilità dei parametri, delle informazioni e delle misurazioni di volta in volta necessarie per le diverse finalità di ricerca”.

Il paragrafo n. 2 della memoria è dedicato “all’addebito inerente ai trattamenti di dati personali per scopi di ricerca in campo medico, biomedico o epidemiologico.

A tale riguardo, è stato dichiarato in particolare che “[...] nell’ambito delle responsabilità previste dall’art. 24 del Regolamento Ue 2016/679, le attività di trattamento sono state svolte sulla base delle soluzioni tecniche disponibili per la gestione delle stesse, tenendo conto del numero di pazienti arruolati per gli studi condotti e delle caratteristiche di ogni studio.

Pertanto, la società, in considerazione dell’attività svolta e del contesto stesso, ha implementato una modifica del sistema EPR, ovvero dell’archivio dei referti, che consente di gestire gli accessi degli utenti in base ai seguenti criteri:

- Presidio;

- Unità operativa;

- Livello di accesso ai dati personali differenziando i seguenti tre livelli:

1) Liv0 visibilità completa dei referti del paziente;

2) Liv1 visualizzazione completa, solo in caso di episodio aperto (es. visita ambulatoriale o strumentale, ricovero), della storia clinica del paziente;

3) Liv2 visualizzazione solo del referto dell'episodio aperto”.

È stato rappresentato, inoltre, che “nell'ambito delle attività di rafforzamento delle misure tecniche e organizzative per la conformità alla normativa vigente in materia di privacy, sono state definite e divulgate apposite istruzioni che richiedono di utilizzare esclusivamente lo pseudonimo associato ai dati sanitari ricavati per la ricerca (eliminando la duplicazione di nome, cognome e data di nascita dei pazienti)”.

Tale documento -trasmesso in atti-, indica in particolare che “Inoltre, il Gruppo si impegna ad applicare le seguenti misure tecniche per garantire la sicurezza dei dati e, in particolare:

l’anonimizzazione dei dati personali, qualora le finalità di ricerca possano essere conseguite attraverso il trattamento di dati che non consentano, o non consentano più, di identificare l'interessato;

la pseudonimizzazione dei dati, laddove le finalità di ricerca scientifica possano essere conseguite con l’uso di pseudonimi. Le best practice per assicurare la corretta pseudonimizzazione sono:

• usare un metodo di pseudonimizzazione solido, non-sequenziale e randomizzato;

• garantire l’integrità del dato;

• documentare il processo di pseudonimizzazione.

In caso di utilizzo di file excel nell’ambito del processo di analisi dei dati per finalità di ricerca scientifica, il Gruppo si impegna ad applicare una partizione logica dei filesystem/share di rete su cui operano i diversi soggetti inclusi nel processo di ricerca: (i) i soggetti che raccolgono i dati (ii) i soggetti che predispongono i database contenenti i dati oggetto di ricerca, (iii) i soggetti che analizzano i dati.

Tale partizione è strutturata secondo il seguente approccio:

adozione di una prima partizione riservata alla raccolta dei dati dei pazienti arruolati. Tale partizione è accessibile ai soggetti che raccolgono i dati e ai soggetti che predispongono i database contenenti i dati oggetto di ricerca;

adozione di una seconda partizione riservata alla predispostone di una tabella di correlazione tra i dati raccolti e quelli oggetto di analisi, finalizzata alla creazione ed assegnazione di pseudonimi ai pazienti arruolati. Tale partizione è accessibile esclusivamente ai soggetti che predispongono i database contenenti i dati oggetto di ricerca;

adozione di una terza partizione riservata all’analisi dei dati pseudonimizzati per finalità attività di ricerca. Tale partizione è accessibile ai soggetti che analizzano i dati e ai soggetti che predispongono i database contenenti i dati oggetto di ricerca.

In coerenza con il principio di minimizzazione, i soli soggetti che predispongono i database contenenti i dati oggetto di ricerca sono autorizzati ad avere visibilità sia sui dati raccolti che quelli da analizzare per fini di ricerca. Ai soggetti che raccolgono i dati e a quelli che li analizzano, ogni visibilità generale e/o trasversale è preclusa.

Ciò premesso, l’Istituto ha rappresentato che “Tenuto conto del fatto che gli studi di ricerca interni effettuati in qualità di Titolare del trattamento prevedono il trattamento dei dati personali di un numero limitato di pazienti, l’adozione di uno strumento tecnico che permetta una profilazione dinamica, parametrica e quindi personalizzata in funzione delle necessità specifiche di ogni studio risulta particolarmente complessa e di difficile adozione. Pertanto, la società ha ritenuto che l’implementazione di tale soluzione rappresentasse un onere tecnico non sostenibile, né economicamente, né tecnicamente.

MultiMedica, tuttavia, ha dichiarato di aver avviato un’attività di valutazione per l'identificazione di una soluzione tecnologica che permetta la pseudonimizzazione dei dati del paziente in modo automatico oltre ad una più efficace estrazione dei dati, in particolare di quelli non strutturati, senza accesso a dati personali e/o di refertazione non pertinenti rispetto al fine di ricerca.

Con riferimento alla mancata esecuzione e pubblicazione della valutazione di impatto, quali operazioni necessarie ai sensi dell’art. 110 del Codice per il trattamento di dati personali per scopi di ricerca rientranti in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, MultiMedica ha dichiarato che “la società, come ha avuto modo di chiarire nel corso dell’accertamento ispettivo, nel caso specifico ha gestito lo studio Retinal rispettando il protocollo clinico e relativo consenso informato approvati dal Comitato Etico ed in conformità alle Good Clinical Practices”.

Ad ogni modo MultiMedica, nel quadro dell’attività in corso rispetto alla corretta gestione della protezione dei dati personali dei pazienti, nell'ambito delle azioni di rafforzamento delle misure tecniche e organizzative per la conformità alla normativa vigente in materia di privacy, ha dichiarato di avere predisposto la valutazione di impatto in relazione allo studio Retinal, trasmettendola in atti, e che “Nel contempo è stata svolta un'estesa attività di formazione sul tema della valutazione preventiva d'impatto per garantire il sistematico svolgimento di questo adempimento preliminarmente rispetto ad ogni progetto di ricerca cui MultiMedica sia chiamata a partecipare, definendo un piano per l’individuazione delle attività soggette a valutazione di impatto ed effettuazione delle stesse.

Con riferimento alla contestazione della violazione del principio di accountability di cui agli artt. art. 5, par. 2 e 24 del Regolamento, l’Istituto ha dichiarato che “[...] il Titolare fin dal XX aveva dotato l'organizzazione di un team di personale interno e collaboratori esterni, all’epoca individuati e incaricati di definire le corrette procedure per la gestione dei dati personali e documentare tali adempimenti. Tale processo che è stato gestito fino al XX è stato fortemente condizionato nel corso del periodo XX dalla necessità di gestire l’emergenza sanitaria che ha reso particolarmente difficoltosa la gestione ordinata di tale attività. Superata l'emergenza nel secondo semestre XX, il Titolare ha riscontrato la necessità di rivedere e migliorare l’impostazione data al proprio modello di gestione dei dati personali attraverso la definizione di un piano di attività e l’affidamento dello stesso ad un nuovo gruppo di lavoro. Il piano predisposto [...] ha comportato quindi l’assunzione di una figura con competenze specifiche in ambito organizzativo e gestionale e nella conseguente sostituzione del responsabile della protezione dei dati; l’ispezione è avvenuta nella fase in cui il progetto di consolidamento aveva appena preso avvio ed è proseguito infatti nelle settimane successive, proprio nella consapevolezza che sia dovere del Titolare documentare adeguatamente la gestione dei dati personali. È impegno di MultiMedica completare questo processo in tempi brevi”.

In relazione alle violazioni contestate, MultiMedica, per le valutazioni dell’Ufficio di cui all’art. 83 del Regolamento, ha dichiarato:

di ”aver svolto il trattamento nell’ambito della propria attività sulla base del protocollo clinico e relativo consenso informato approvati dal Comitato Etico. Non si sono verificati casi connessi a reclami degli interessati, a tutela dei diritti degli interessati”;

che “il numero di soggetti interessati allo studio “Retinal” ha riguardato ad oggi 53 pazienti”;

di avere agito in buona fede “nel suo ruolo di soggetto che partecipa ad una attività di ricerca secondo criteri definiti dagli Enti che promuovono tali ricerche e che si è ritenuto di utilizzare dati nel contesto delle attività;

“società ha provveduto, ben prima dell’accertamento ispettivo, a definire un piano di consolidamento dei processi di gestione dei dati personali. In questo contesto, precisando che concretamente nessun danno effettivo è stato determinato per gli interessati, la società ha esteso il perimetro delle istruzioni impartite ai soggetti autorizzati al trattamento nell’ambito della ricerca, ha svolto una specifica valutazione di impatto in relazione allo studio “Retinal” ed ha svolto un adeguato programma di formazione volto a definire lo svolgimento delle valutazioni di impatto del trattamento dei dati personali in futuro”;

di avere “definito un piano di intervento per una sistematica revisione di tutte le procedure di trattamento dei dati personali. In questo contesto, ha definito la verifica periodica dell’adeguatezza dei processi di trattamento svolti. Alla luce delle osservazioni emerse in occasione degli accertamenti ispettivi, sono stati definiti processi di estrazione dei dati per lo svolgimento delle ricerche che possano minimizzare i dati trattati, l’accesso ai dati in funzione dello svolgimento delle ricerche e sono in corso azioni di miglioramento dei processi di pseudonimizzazione e anonimizzazione al fine di tutelare maggiormente gli interessati”;

che “la […] società ha fornito con totale trasparenza e collaborazione all’autorità di controllo tutte le informazioni in proprio possesso e ha responsabilmente avviato, ben prima dell’accertamento ispettivo, un percorso di rinnovamento delle proprie procedure di gestione dei dati”;

di avere provveduto all’assunzione “nel XX di una figura professionale che si occupi di questo tema e alla designazione, formalizzata in occasione dell’ispezione, di un nuovo responsabile della protezione dei dati in sostituzione di quello precedentemente designato il XX”;

di avere già implementato alcune misure correttive rispetto alle violazioni contestate;

di non avere mai effettuato notificazione di violazioni ai sensi dell’art. 33 del Regolamento “avendo in corso un piano di attività per la gestione del trattamento dei dati”;

che “la partecipazione alle ricerche non comporta benefici economici specifici dai trattamenti oggetto delle contestazioni di violazione”;

di avere assicurato piena collaborazione all’Autorità durante tutto il procedimento, sia in fase ispettiva che istruttoria;

La Società ha infine rinnovato la richiesta alla “autorità di controllo di tenere conto del fatto che l’ispezione è intervenuta nella fase in cui si stava avviando il processo di revisione e consolidamento delle procedure volte alla protezione dei dati personali” confidando affinché “codesto Garante voglia tenere conto di questo contesto nel valutare le violazioni notificate, tenendo conto in particolare dell’approccio collaborativo e della pianificazione già definita dalla società, ben prima dell’ispezione, per gli interventi che il titolare, nell’ambito delle sue responsabilità ha ritenuto di definire”.

4. La normativa applicabile

Il trattamento di dati personali deve avvenire nel rispetto del Regolamento e del Codice.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, paragrafo 1, n. 1 del Regolamento).

Per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5). La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (art. 5, par. 1, lett. c) e 89 del Regolamento). A tale riguardo, il Gruppo Articolo 29 ha evidenziato che essa vale “a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile (WP216, 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014)” ma essa è certamente anche, una misura di minimizzazione dei dati che realizza e contribuisce a rendere il principio di necessità (cfr. par. 3.5. Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, Versione 2.0 Adottate il 20 ottobre 2020; provv. del Garante del 23 gennaio 2020, doc. web 9261093).

Tra i principi applicabili al trattamento stabiliti all’art. 5 del Regolamento, merita in questa sede evidenziarsi quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento).

Al riguardo, merita segnalarsi come già il Gruppo art. 29 nelle Parere 3/2010 sul principio di responsabilità, del 13 luglio 2010, sottolineasse la rilevanza del principio di responsabilità rappresentando l’esigenza che gli obblighi giuridici fossero tradotti in misure concrete di protezione dei dati di volta in volta efficaci all’effettiva applicazione del principio di protezione dei dati personali considerato e che i titolari del trattamento fossero nella condizione di comprovare l’idoneità delle misure implementate anche tenuto conto del rischio connesso, nel caso specifico, al trattamento dei dati (cfr. anche linee guida per la protezione della vita privata dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) adottati nel 1980).

Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Il requisito di cui all’articolo 25 del Regolamento obbliga i titolari a provvedere affinché la protezione dei dati sia integrata nel trattamento fin dalla progettazione e per impostazione predefinita durante l’intero ciclo di vita del trattamento. Il titolare adotta misure tecniche e organizzative adeguate che sono concepite per attuare in modo efficace i principi di protezione dei dati e integra nel trattamento le necessarie garanzie per conformare i trattamenti alla disciplina in materia di protezione dei dati e per tutelare i diritti e le libertà degli interessati.

In base al rinnovato quadro normativo in materia di protezione dei dati personali, sulla base del principio di responsabilizzazione e dell’obbligo di protezione dei dai sin dalla progettazione, si richiede al titolare una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati.

Tali misure dovranno, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia. In tale ottica, il richiamato obbligo di documentazione delle scelte inerenti al trattamento dei dati personali si intende compiutamente adempiuto solo laddove il titolare sia in grado di dimostrare, attraverso indicatori di prestazione (qualitativi e ove possibile, quantitativi), l’efficacia delle misure (cfr. Linee guida 4/2019 sull’articolo 25 “Protezione dei dati fin dalla progettazione e per impostazione predefinita” del Comitato europeo per la protezione dei dati, Versione 2.0, adottata in data 20 ottobre 2020.; provv. del Garante, del 23 gennaio 2020, cit.).

Rilevano inoltre con specifico riferimento ai trattamenti svolti per scopi di ricerca scientifica il principio di minimizzazione dei dati (artt. 5, par. 1, lett. d) del Regolamento) che impone ai titolari di trattare “dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Alla luce di tale principio il titolare non solo deve selezionare le informazioni di cui effettivamente necessita per il perseguimento dello scopo della raccolta, ma svolgere altresì un assessment sulla possibilità di trattare informazioni oggetto di preventiva pseudonimizzazione per minimizzare l’uso, e quindi l’esposizione al rischio, di informazioni direttamente identificative degli interessati.

Rileva, infine nell’alveo dei principi rilevanti nella fattispecie in esame il principio di integrità e riservatezza dei dati in base al quale essi devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” cui si collega l’obbligo per il titolare di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (artt. 5, par. 2, lett. f) e 32 del Regolamento).

Il Regolamento introduce poi l’obbligo per i titolari di svolgere una preventiva valutazione di impatto quanto il trattamento “prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35), consultando l´Autorità di controllo qualora le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento sui diritti e le liberta degli interessati non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato (art. 36). A tale riguardo, si segnalano le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248rev.01, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017. In tale ambito il Gruppo articolo 29 indica in particolare quando una valutazione di impatto sia obbligatoria, chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Infine, con specifico riferimento alle fattispecie esaminate rileva l’art. 110 del Codice che in ambito di ricerca medica, biomedica e epidemiologica dispone che: “1. Il consenso dell'interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 del Regolamento” (cfr. anche le cit. Linee guida in materia di valutazione d'impatto sulla protezione dei dati).

Si evidenzia, quindi, che la base giuridica per il trattamento dei dati personali (anche genetici e sulla salute) necessari alla realizzazione di progetti di ricerca che rientrano in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, può essere rinvenuta nella richiamata normativa di settore, congiuntamente a due specifici adempimenti previsti dal Codice:

i. lo svolgimento di una valutazione di impatto da parte del titolare del trattamento -che in questo caso deve considerarsi quindi obbligatoria a prescindere dalle valutazioni sulla rischiosità del trattamento svolte dal titolare alla luce dell’art. 35 del Regolamento e delle richiamate linee guida-;

ii. la pubblicazione della stessa.

Qualora la base giuridica sia individuata nel consenso degli interessati, anche in riferimento alle ricerche finanziate ai sensi del d.lgs. 502 del 1992, resta inteso che esso deve essere prestato attraverso un atto positivo con il quale l’interessato manifesta una volontà libera, specifica, informata e inequivocabile relativa al trattamento dei dati personali che lo riguardano (Considerando 32, 42 e 43, artt. 5, 6, par. 1, lett. a) e 7 del Regolamento e Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali il 4 maggio 2020).

Con specifico riferimento alle particolari categorie di dati, tale consenso, tenuto conto della natura di tali dati, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, deve essere non solo esplicito ma anche manifestato per iscritto (art. 9, par. 2 lett. a) del Regolamento e par. 4 delle citate Linee guida 5/2020 sul consenso e art. 7, comma 2, lett. b) delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018, allegato A5 al Codice (doc. web n. 9069637).

In tale ambito, il Comitato europeo per la protezione dei dati personali in relazione alle sperimentazioni cliniche ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. Le disposizioni del capo V del regolamento sulla sperimentazione clinica relative al consenso informato, in particolare l'articolo 28, rispondono principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki. L'obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all'integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell'Unione europea; non è concepito per rispettare gli obblighi in materia di protezione dei dati. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), Adottato il 23 gennaio 2019).

Al riguardo, si sottolinea come in ipotesi di dati sulla salute raccolti direttamente dagli interessati e quindi di arruolamento diretto degli stessi nel progetto di ricerca, resta salvo il principio della volontarietà dell’adesione alla ricerca, conformemente alle norme e agli standard etici, anche di diritto internazionale applicabili al settore in esame (1). Merita a tale riguardo ribadire, infatti, che il Comitato europeo per la protezione dei dati personali in relazione alle sperimentazioni cliniche ha chiarito che “il consenso informato previsto dal regolamento sulla sperimentazione clinica non va confuso con il consenso quale fondamento giuridico per il trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati. Le disposizioni del capo V del regolamento sulla sperimentazione clinica relative al consenso informato, in particolare l'articolo 28, rispondono principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki. L'obbligo di ottenere il consenso informato dei partecipanti a una sperimentazione clinica è innanzitutto una misura che garantisce la tutela del diritto alla dignità umana e il diritto all'integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell'Unione europea; non è concepito per rispettare gli obblighi in materia di protezione dei dati. A norma del regolamento generale sulla protezione dei dati, il consenso al trattamento deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, deve essere esplicito” (cfr. punti 15, 16 e 17 del Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), Adottato il 23 gennaio 2019).

5. L’esito dell’attività istruttoria: le violazioni accertate

Come sopra riportato, l’Ufficio ha contestato a MultiMedica che i trattamenti di dati personali dalla stessa svolti per scopi di ricerca in campo medico, biomedico e epidemiologico e in particolare per la realizzazione di progetti di ricerca finanziati ai sensi dell’art. 12-bis del d.lgs. n. 502 del 1992, quali lo studio “Retinal” che è stato in particolare esaminato nel corso dei richiamati accertamenti ispettivi, sono stati effettuati in violazione degli artt. 5, par.1, lett. c) e f) e par. 2, 24, 25 e 32 del Regolamento e 110 del Codice.

In termini generali, MultiMedica ha illustrato, nel corso degli accertamenti ispettivi, il documento (poi acquisito agli atti del procedimento) denominato “PROPOSTA DI SUPPORTO CYBER SECURITY & PRIVACY”, a testimonianza del proprio impegno a rivedere e migliorare il livello di conformità alle disposizioni in materia di protezione dei dati personali.

A tale riguardo, nel prendersi favorevolmente atto dell’iniziativa, deve tuttavia constatarsi che quanto trasmesso costituisce una mera proposta di contratto avanzata da una società di consulenza, non ancora sottoscritto dal titolare per cui non è chiaro se e da quanto tempo essa sia stata accettata, se abbia iniziato a produrre i suoi effetti e se l’attività di revisione dei processi interni sia iniziata e a che punto sia.

5.1. Sul principio di accountability e sull’obbligo di privacy by design

L’Ufficio ha rilevato che i trattamenti di dati personali svolti da MultiMedica, in particolare necessari per le ricerche finanziate dal Ministero della salute, ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502 e nello specifico quelli di selezione, raccolta, archiviazione e pseudonimizzazione dei dati, sono svolti in termini generali in violazione del principio di accountability e, in quanto rimessi quasi integralmente ad operazioni manuali svolte dagli addetti (cfr. punto 2.1.), in violazione del principio di privacy by design e by default di cui all’art. 25 del Regolamento.

MultiMedica ha imputato la violazione del principio di responsabilizzazione, cioè del compito del titolare di rispettare i principi applicabili al trattamento e di essere in grado di comprovarne il rispetto mostrando le misure tecniche e organizzative ritenute a tal fine idonee, al contesto eccezionale causato dall’emergenza pandemica da Sars-Cov 2 che, in quanto istituto di ricovero e cura, lo ha visto particolarmente coinvolto.

Al riguardo, ferma restando l’indiscussa rilevanza da doversi riconoscere all’emergenza pandemica nella graduazione delle responsabilità imputabili al titolare del trattamento, il Garante ritiene che la totale assenza di misure specifiche rispetto ai trattamenti oggetto di esame nel corso degli accertamenti ispettivi, siano tali da non poter consentire di superare il rilievo.

Dai documenti per rendere le istruzioni agli interessati, alla modalità di designazione della nomina del responsabile della protezione dei dati formalizzata frettolosamente nel corso dell’accertamento ispettivo, alla superficiale conoscenza delle specifiche disposizioni che riguardano il trattamento dei dati personali per scopi di ricerca scientifica in campo medico, rilevati in sede ispettiva, nonostante la vocazione specifica dell’ente, emerge l’assenza di quella condotta proattiva e responsabile che il principio responsabilizzazione pone in capo ai titolari del trattamento (art. 5, § 2 del Regolamento).

In nessun caso, inoltre, l’Istituto è stato in grado di fornire motivazioni rispetto alla propria condotta che non fossero esclusivamente assertive, senza essere corroborate da argomentazioni specifiche e valutazioni in ordine all’efficacia in termini qualitativi o quantitativi della misura adottata o non adottata.

Si rileva quindi un comportamento poco proattivo nella corretta applicazione della disciplina in materia di protezione dei dati personali nel settore della ricerca scientifica, facente capo a un “Istituto privato di ricovero e cura a carattere scientifico- IRCCS” dal quale ci si dovrebbe attendere un alto grado di professionalità proprio in quanto, la natura dei dati (sulla salute e genetici) nonché gli interessati coinvolti (soggetti certamente vulnerabili), espongono i diritti e le libertà fondamentali di questi ultimi a rischi maggiori.

Il Garante, pur sottolineando la gravità di questa violazione, tenuto conto di quanto emerso in sede ispettiva, osserva tuttavia con favore come l’attività ispettiva non abbia fatto altro che accelerare un processo di graduale adeguamento al Regolamento indiscutibilmente già innescatosi presso l’Istituto e ragionevolmente ostacolato dall’emergenza pandemica.

Emerge poi una certa tendenza del titolare a ricondurre ogni specifica misura ai soli aspetti organizzativi di formazione e istruzione del personale. Al riguardo, non può non rilevarsi che in assenza di specifiche misure tecniche, le sole misure organizzative, quali la formazione, che per altro godono di dignità autonoma nel Regolamento (art. 29 del Regolamento e 2-quaterdecies del Codice), risultano inefficaci. Così come l’implementazione di misure astrattamente idonee che non siano poi condivise con i dipendenti, rischia di vanificarne l’efficacia e di farle considerare quali adempimenti formali e burocratici, prive di un valore sostanziale.

In relazione alla contestazione dell’obbligo di protezione dei dati per impostazione predefinita è stato dichiarato, in particolare, che “il trattamento dei dati personali viene effettuato in realtà da parte di addetti altamente qualificati”, autorizzati al trattamento dei dati personali sulla base di specifiche istruzioni e che “nell'ambito delle attività di rafforzamento delle misure tecniche e organizzative che la società [...] aveva già avviato prima dell’accertamento ispettivo” [...] “è stato previsto un aggiornamento dell’atto di autorizzazione al trattamento dei dati personali, in cui è stata esplicitata la finalità di ricerca scientifica”.

Sul punto si osserva, in primo luogo, che il documento trasmesso presenta delle criticità, tenuto anche conto del fatto che in molte sue parti, per l’individuazione di ulteriori istruzioni da rendere all’incaricato del trattamento, rinvia ad altri documenti o istruzioni impartite dal titolare che non sono indicate nella documentazione tramessa. Ciò premesso, pur senza disporre di un effettivo riscontro sull’efficacia sostanziale della misura organizzativa introdotta, si prende atto, allo stato, che la Società ha provveduto ad aggiornare il documento denominato “Istruzioni per l’Incaricato del Trattamento dei Dati Personali per finalità di Ricerca scientifica”.

Nel merito, deve tuttavia constatarsi l’inefficacia delle misure descritte rispetto all’obbligo di protezione dei dati per impostazione predefinita. Impartire specifiche istruzioni ai propri addetti e autorizzati costituisce, come detto, un adempimento specifico e autonomo della normativa di riferimento (art. 29 del Regolamento e art. 2-quaterdecies del Codice) che non può sostituire o sopperire all’obbligo del titolare di assicurare l’adozione di misure che, per impostazione predefinita e senza necessariamente l’intervento umano, salve specifiche esigenze, favoriscano l’effettiva applicazione dei principi in materia di protezione dei dati di volta in volta rilevanti e la riduzione dei rischi per i diritti e le libertà degli interessati, correlati al trattamento, ai sensi dell’art. 25 del Regolamento.

Risulta pertanto accertata la violazione degli artt. 5, par. 2 e 25 del Regolamento.

5.2 Sui principi di minimizzazione e integrità e riservatezza dei dati

Con riferimento all’inefficacia delle misure di pseudonimizzazione in uso (che come sopra riportato affiancano allo pseudonimo i dati direttamente identificativi del paziente), quale strumento per garantire l’effettiva applicazione del principio di minimizzazione dei dati, si prende favorevolmente atto dell’impegno assunto dal titolare volto ad “individuare uno strumento informatico per la generazione di uno pseudonimo attraverso un metodo solido, non sequenziale e randomizzato” ma si conferma la contestazione mossa (cfr. supra punto 3), atteso che il titolare non ha fornito alcuna difesa che consenta il superamento di tale criticità.

Con riferimento alla contestazione della violazione dei principi di minimizzazione e di integrità e riservatezza dei dati, si prende favorevolmente atto dell’intenzione dell’Istituto di implementare un sistema di estrazione automatica dei dati non strutturati secondo una metodologia (non descritta in atti) già testata in riferimento ai dati cd “strutturati” e da testare in riferimento a quelli non strutturati, superando quindi la modalità ritenuta obsoleta e poco idonea, sotto il profilo dell’integrità e riservatezza dei dati, che prevedeva una procedura manuale di “copia e incolla”.

A tale riguardo, si evidenzia che, in termini astratti, l’inserimento di una misura automatica per l’estrazione dei dati può rappresentare una valida modalità per prevenire errori umani da parte degli addetti con possibili conseguenti esposizioni degli interessati a trattamenti che esulino dall’ambito dello studio (ad esempio, per effetto del caricamento del dato in un file di destinazione errato) e quindi per assicurare maggiore effettività al principio di riservatezza e integrità dei dati. Ciò, ferma restando la necessità che il titolare del trattamento valuti in concreto l’efficacia della misura scelta.

Nonostante la misura proposta, appare allo stato inalterata la possibilità per l’estrattore dei dati di visualizzare anche informazioni presenti nel sistema di refertazione dell’Istituto, palesemente non pertinenti allo scopo di ricerca perseguito, quali informazioni inerenti ad un arco temporale non considerato nel progetto di ricerca e dunque, nel caso di studi prospettici, informazioni relative a tutta la storia clinica del paziente.

Tutto ciò premesso, prendendosi favorevolmente atto dell’intenzione del titolare di implementare per il futuro misure automatiche per l’estrazione dal repository della refertazione dei dati sanitari riferiti a pazienti arruolati e necessari alla realizzazione di specifici studi clinici, ferme le criticità sopra evidenziate che il titolare dovrà tenere in debita considerazione, attesa l’esposizione al rischio determinata dall’operazione manuale di “copia e incolla” attualmente in uso, risulta accertata la violazione dei principi di minimizzazione e di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento; ciò, tenuto anche conto dell’inidoneità delle tecniche di pseudonimizzazione osservate in sede ispettiva.

5.3 Trattamenti di dati personali per scopi di ricerca in campo medico, biomedico o epidemiologico

Con riferimento alla violazione degli adempimenti necessari per lo svolgimento di ricerche in campo, medico biomedico e epidemiologico per scopi rientranti in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, MultiMedica ha dichiarato di avere modificato l’archivio dei referti, rafforzato le misure tecniche e organizzative, e divulgato un nuovo documento per l’uso degli pseudonimi nell’ambito della ricerca scientifica.

Al riguardo, si ribadisce che la formazione e la fornitura di nuove e più accurate istruzioni, per quanto adempimenti importanti e necessari, non possono considerarsi misure alternative agli specifici adempimenti richiesti al titolare ai sensi dell’art. 110 del Codice.

Sotto altro profilo, il titolare ha dichiarato che “Tenuto conto del fatto che gli studi di ricerca interni effettuati in qualità di Titolare del trattamento prevedono il trattamento dei dati personali di un numero limitato di pazienti, l’adozione di uno strumento tecnico che permetta una profilazione dinamica, parametrica e quindi personalizzata in funzione delle necessità specifiche di ogni studio risulta particolarmente complessa e di difficile adozione. Pertanto, la società ha ritenuto che l’implementazione di tale soluzione rappresentasse un onere tecnico non sostenibile, né economicamente, né tecnicamente”.

Sul punto, si osserva che, tenuto conto che MultiMedica è un IRCCS, il numero totale degli interessati arruolati nei circa n. 100 progetti di ricerca annui deve considerarsi rilevante, atteso che per espressa dichiarazione del titolare, tale attività costituisce uno degli impegni principali dell’ente.

In ogni caso, in dispregio del principio di accountability, appare approssimativo che si indichi aprioristicamente come sproporzionato lo sforzo necessario per l’implementazione di una misura in concreto ancora non individuata, se non in relazione all’effetto desiderato. Mancano, inoltre, valutazioni qualitative e quantitative a supporto di tale astratta e generica indicazione di uno “sforzo sproporzionato”.

Con specifico riferimento alla mancata esecuzione e pubblicazione della valutazione di impatto ai sensi dell’art. 110 del Codice, è stato invocato il rispetto del consenso informato e delle Good Clincal practices.

La Società ha poi trasmesso unitamente alle memorie difensive la valutazione di impatto relativa allo studio Retinal, che all’epoca dell’accertamento ispettivo non era stata ancora svolta.

Dalla documentazione è emerso che lo studio Retinal è uno studio prospettico che ha previsto l’arruolamento di pazienti che si siano presentati “presso l’UO Oculistica dell’ospedale San Giuseppe nel giro di due mesi,” dall’approvazione del protocollo e che rispettassero i requisiti di inclusione.

MultiMedica ha altresì trasmesso in atti copia del modulo denominato “consenso informato” e modulo di consenso informato e modulo di consenso al trattamento dei dati (privacy) relativo a tale Studio. Tale documentazione, tuttavia, appare inidonea a consentire la libera espressione di un consenso informato al trattamento dei dati personali distinto e autonomo rispetto all’adesione volontaria alla ricerca. Ciò, non tanto perché i due consensi sono raccolti nell’ambito del medesimo modulo, scelta non sindacabile in termini aprioristici, ma perché l’informativa, sotto il profilo della protezione dei dati, risulta carente di numerosi degli elementi richiesti ai sensi dell’art. 13 del Regolamento.

Il foglio informativo, invero, nonostante la denominazione, appare del tutto sbilanciato sul consenso alla partecipazione alla ricerca rispetto a quello relativo al trattamento dei dati personali, quest’ultimo risulta infatti generico, lacunoso ed erroneo, ciò con particolare riferimento alla sostanziale difficoltà per l’interessato di comprendere le autonome e distinte manifestazioni di volontà.

Il titolare, d’altronde, fa riferimento nel suo riscontro al [...] “consenso informato approvato dal comitato etico”, non specificando tale consenso a quale manifestazione di volontà di riferisca.

Tutto ciò premesso, con riferimento alla contestazione in esame, giova preliminarmente evidenziare che, per il principio di alternatività delle basi giuridiche, il titolare che intenda trattare dati per scopi di ricerca scientifica in campo medico, biomedico e epidemiologico per scopi di rientranti in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, laddove materialmente e eticamente possibile, come nelle ipotesi di studi prospettici (cfr. punto 5.3,delle prescrizioni), ben può valutare se, rispetto al caso di specie, risulti più appropriato come base giuridica il consenso degli interessati ovvero, trattandosi di una progetto previsto dal richiamato d.lgs. 502 del 1992, procedere allo svolgimento e alla pubblicazione della valutazione di impatto a norma dell’art. 110, comma 1 del Codice.

In concreto, con riferimento al progetto di ricerca di cui ci si occupa, appare evidente come il titolare non abbia acquisito un consenso valido al trattamento dei dati personali da parte dei pazienti arruolati nello Studio, con la conseguenza che essendo il trattamento correlato allo svolgimento di un progetto di ricerca finanziato ai sensi dell’art. 12-bis del d.lgs. 502 del 1992, per esso il titolare del trattamento avrebbe dovuto non solo svolgere, ma anche pubblicare la valutazione di impatto ai sensi dell’art. 110, comma 1 del Codice.

Nel prendersi favorevolmente atto che successivamente all’attività ispettiva la valutazione di impatto è stata comunque svolta, ancorché non pubblicata, risulta pertanto accertata la violazione dell’art. 110, comma 1 del Codice.

6. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto di ricovero e cura a carattere scientifico, MultiMedica S.p.A. in quanto sono stati effettuati in violazione degli artt. 5, par.1, lett. c) e f) e par. 2, 24, 25 e 32 del Regolamento e 110 del Codice. La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

L’art. 58, par. 2, del Regolamento prevede in capo al Garante una serie di poteri correttivi, di natura prescrittiva e sanzionatoria, da esercitare nel caso in cui venga accertato un trattamento illecito di dati personali.

Tra questi poteri, l’art. 58, par. 2, lett. d) del Regolamento, prevede il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

7. Misure Correttive

Alla luce delle valutazioni sopra richiamate, si ritiene di dover ingiungere alla Società, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di conformare, entro 120 giorni dalla notifica del presente provvedimento, i trattamenti alle disposizioni del Regolamento.

In particolare, si ingiunge a MultiMedica S.p.A. di:

a) individuare lo strumento informatico per la generazione di un codice alfanumerico solido, non sequenziale e randomizzato, per una efficace pseudonimizzazione dei dati trattati a scopo di ricerca;

b) individuare le misure tecniche per assicurare che le attività di raccolta dei dati personali attraverso il sistema di refertazione, archiviazione e pseudonimizzazione dei dati per scopi di ricerca scientifica, non siano demandate esclusivamente ad interventi manuali distribuiti da parte delle persone autorizzate al trattamento e risultino conformi ai principi di minimizzazione e di integrità e riservatezza dei dati;

c) individuare le misure tecniche assunte per l’estrazione automatica dei dati strutturati e le misure che si intendono assumere per l’estrazione automatica dei dati non strutturati;

d) individuare le misure tecniche al fine di escludere per impostazione predefinita che le persone autorizzate al trattamento possano visionare anche informazioni eccedenti e non pertinenti, quali quelle riferite ad un periodo temporale o ad aree cliniche non oggetto dello specifico Studio che si intente svolgere (a titolo esemplificativo , misure di controllo degli accessi, raccolta dei log, o l’impiego di strumenti anti data leak idonei a scongiurare che i dati dei pazienti possano essere impiegati per scopi diversi da quelli di ricerca);

e) pubblicare sul proprio sito internet, anche solo per estratto, la valutazione di impatto relativa allo studio “Retinal”.

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. artt. 5, par.1, lett. c) e f) e par. 2, 24, 25 e 32 del Regolamento e 110 del Codice commessa da MultiMedica è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento. A tale riguardo, si osserva che:

- il trattamento effettuato ha interessato, in particolare, le informazioni idonee a rilevare lo stato di salute e dati genetici riferiti ai pazienti arruolati nello studio Retinal, soggetti vulnerabili (art. 4, par. 1, n. 13 e 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo le violazioni accertate avvenute in buona fede (art. 83, par. 2, lett. b) del Regolamento);

- è stato adottato nei confronti di MultiMedica un provvedimento di ammonimento per violazione dell’art. 5, par. 1, lett. f) del Regolamento (art. 83, par. 2, lett. e) del Regolamento) (provv. del 18 giugno 2020, doc. web 9451705);

- MultiMedica ha adottato svariate misure per conformare, già in sede istruttoria, i trattamenti alla disciplina applicabile;

- MultiMedica si è dimostrata collaborativa nel corso dell’accertamento ispettivo e in fase istruttoria;

- in qualità di Istituto di ricovero e cura, MultiMedica è stata particolarmente interessata dall’emergenza causata dalla pandemia da Sars-Cov 2 diffusasi a soli due anni dalla piena entrata in vigore del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di € 80.000 (ottantamila) per la violazione degli artt. 5, par.1, lett. c) e f) e par. 2, 24, 25 e 32 del Regolamento e 110 del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Istituto di Ricovero e Cura a Carattere Scientifico (IRCCS) MultiMedica S.p.A., c.f./p.i. 06781690968, con sede legale in via Fantoli Gaudenzo 16/15, Milano, per la violazione degli artt. 5, par.1, lett. c) e f) e par. 2, 24, 25 e 32 del Regolamento e 110 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla società MultiMedica, di pagare la somma di € 80.000 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla società MultiMedica:

1. di pagare la somma di euro € 80.000 (ottantamila) -in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice-, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

2. ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate nel paragrafo 7 del presente provvedimento, entro e non oltre il termine di 120 giorni dalla notifica del presente provvedimento, avendo cura di:

a) individuare lo strumento informatico per la generazione di un codice alfanumerico solido, non sequenziale e randomizzato, per una efficace pseudonimizzazione dei dati trattati a scopo di ricerca;

c) individuare le misure tecniche assunte per l’estrazione automatica dei dati strutturati e le misure che si intendono assumere per l’estrazione automatica dei dati non strutturati;

e) pubblicare sul proprio sito internet, anche solo per estratto, la valutazione di impatto relativa allo studio “Retinal”.

L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

3. ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 7, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell’art. 166, comma 7 del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 settembre 2023

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi

________

1) Dichiarazione di Helsinki dell´Associazione medica mondiale (WMA), recante principi etici per la ricerca biomedica che coinvolge gli essere umani adottata nel giugno 1964 e ss.mm.ii; la Convenzione sui diritti dell’uomo e sulla biomedicina, adottata dal Consiglio d’Europa a Oviedo il 4 aprile 1997 e il Protocollo addizionale relativo alla ricerca biomedica del 2005; la Dichiarazione universale sul genoma umano e i diritti umani, adottata dall´Unesco dell´11 novembre 1997; la Dichiarazione internazionale sui dati genetici umani dell´Unesco del 16 ottobre 2003.

Scheda

Doc-Web
9941205

Data
14/09/23

Argomenti

Sanità e ricerca scientifica

Tipologie

Ordinanza ingiunzione o revoca

Header seguici su

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 14 settembre 2023 [9941205]

g-docweb-display Portlet