La nostra terza Pillola Privacy sul tema "Sperimentazione clinica e protezione dei dati" è dedicata ad una fase critica nell'esecuzione delle sperimentazioni cliniche, ovvero, la definizione, in anticipo, dei ruoli, degli obblighi e delle responsabilità di tutti i soggetti coinvolti nelle sperimentazioni cliniche (promotori, centri, sperimentatori, CRO, laboratori, depot, altri subappaltatori).
Per quanto riguarda il trattamento di dati personali, esistono due figure principali che il regolamento generale sulla protezione dei dati (UE) 2016/679 (“GDPR”) definisce come il titolare del trattamento (che determina le finalità e i mezzi del trattamento di dati) e il responsabile del trattamento (che tratta i dati per conto del titolare). Queste due figure hanno degli obblighi e delle responsabilità distinti (cfr. art 4 § 7 e § 8). Nello specifico, è necessario stipulare un contratto scritto tra il titolare e il responsabile del trattamento per regolare il trattamento dei dati. Inoltre, i titolari sono responsabili della selezione e della valutazione dei fornitori coinvolti nel trattamento dei dati dei pazienti in qualità di responsabili o di sub-responsabili del trattamento (cfr. art. 28 del GDPR).
Sulla base di circostanze legate al contesto dello specifico progetto di ricerca, promotori e centri di sperimentazione avranno una responsabilità distinta nell’ambito degli studi clinici e, quindi, gli stessi potranno configurarsi come autonomi titolari o, a seconda dei casi, contitolari del trattamento (art. 26 del GDPR). In caso di contitolarità (in particolare, qualora sia prevista una stesura congiunta del protocollo di studio – cfr. Linee guida 07/2020 sui concetti di controllore e processore nel GDPR del Garante europeo “EDPB”), sarà necessario stabilire in sede contrattuale ruoli e responsabilità di ciascuno, decidendo a priori chi dovrà informare i pazienti circa l’utilizzo dei loro dati, chi sarà incaricato degli obblighi di notifica di un’eventuale violazione dei dati personali, quale sarà la base giuridica del trattamento svolto da ciascuno dei contitolari e così via per tutti gli adempimenti previsti a carico dei titolari (cfr. capo IV del GDPR).
A livello locale, gli stati membri dell’UE possono implementare requisiti specifici e più stringenti applicabili al trattamento di categorie particolari di dati. Ad esempio, l’autorità di protezione dei dati italiana (il “Garante”) evidenzia la necessità di stabilire il rapporto che intercorre tra il promotore e i centri di sperimentazione, in qualità di titolari, nonché con tutti gli altri soggetti che accedono ai dati dei partecipanti nella sperimentazione clinica (cfr. Linee guida del Garante per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali del 24 luglio 2008). Inoltre, le linee guida del Garante offrono ulteriori specifiche circa il coinvolgimento di altri soggetti che intervengono a vario titolo nella sperimentazione clinica (CRO, addetti al monitoraggio, laboratori, società di trasporto di pazienti, ecc.), e specificano che i titolari sono altresì tenuti a disciplinare a livello contrattuale i ruoli e le attività di trattamento svolte da parte di qualsiasi fornitore che abbia accesso ai dati dei partecipanti ad uno studio clinico (anche i dati codificati). Questo si verifica, ad esempio, nelle ipotesi in cui i fornitori vengano incaricati della raccolta, della pseudo-anonimizzazione, della validazione o dell’analisi statistica dei dati, ovvero di tutti gli obblighi legati al monitoraggio o ancora alla farmacovigilanza (cfr. sezione 6 delle citate linee guida del Garante).