Ricerca scientifica: i requisiti dell’informativa privacy

Nel contesto delle attività di enti o istituti di ricerca, società scientifiche e professionisti sanitari, la messa a disposizione dell’informativa privacy è un momento chiave per la dimostrazione dell’adempimento degli obblighi di data protection.

Infatti, tutti i partecipanti ad attività di ricerca scientifica devono essere messi in condizione di essere informati sul trattamento dei propri dati personali secondo il fondamentale principio di trasparenza di cui all’art. 5 par. 1 del Reg. UE 679/2016 (GDPR).

Quali sono i contenuti dell’informativa?

Quando il soggetto che svolga la ricerca (Titolare del trattamento) raccoglie i dati direttamente presso il paziente/partecipante, deve informarlo ai sensi dell’articolo 13 GDPR:

  • fornendogli la propria identità e i propri dati di contatto;
  • indicandogli come contattare il Data Protection Officer (DPO);
  • spiegargli per quale scopo i dati sono trattati e su quale base giuridica il trattamento è lecito;
  • specificare chi riceverà i dati, per quanto tempo saranno conservati e come questo periodo è determinato, e se si tratta di un processo decisionale automatizzato.

Non va dimenticato che l’informativa deve contenere anche l’indicazione dei diritti di cui i partecipanti dispongono (che nel caso della ricerca scientifica possono variare rispetto a quelli previsti dal GDPR), oltre al diritto di presentare un reclamo al Garante Privacy, indicandone preferibilmente le modalità.

Inoltre, ai sensi dell’art. 105 del D. Lgs. 196/2003 (Codice Privacy), le finalità di ricerca scientifica devono essere chiaramente determinate e resi noti all’interessato, in particolar modo considerato che i dati trattati non possono essere utilizzati per prendere decisioni o provvedimenti relativamente all’interessato, né per trattamenti di dati per scopi di altra natura.

Se invece il Titolare del trattamento non ha raccolto i dati da trattare a fini di ricerca presso il partecipante/paziente dovrà fornirgli l’informativa entro un termine ragionevole dall’ottenimento dei dati, al più tardi entro 1 mese ai sensi dell’articolo 14 del GDPR.

In questo caso va tenuto presente che:

  • le informazioni fornite devono comprendere, oltre a quelle sopra riportate, anche le categorie di dati personali trattati, la fonte da cui provengono i dati e se provengono da fonti pubblicamente accessibili;
  • in determinate ipotesi, l’informativa potrebbe non essere obbligatoria. Su questo si rimanda all’articolo “RICERCA SCIENTIFICA: Quando l’informativa non è obbligatoria?”

A chi possono essere fornite le informazioni?

Di norma, destinatario dell’informativa è l’interessato che, ai sensi dell’art. 4 del GDPR, è la persona fisica identificata o identificabile a cui i dati personali si riferiscono; in questo caso si tratta del paziente/partecipante alla ricerca.

Nel caso dei trattamenti di dati svolti per finalità di ricerca scientifica sussiste però una deroga.

L’art. 105 del Codice Privacy prevede infatti che, quando specifiche circostanze individuate dalle regole deontologiche di cui all’articolo 106 sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro, in quanto familiare o convivente, le informazioni all’interessato possono essere date anche per il tramite del soggetto rispondente.

Sul piano operativo ciò significa che, in questi casi, l’informativa può essere fornita al familiare o convivente del paziente/partecipante.

Le informative del MMG e del PLS

Un’attenzione particolare pone il Codice Privacy alle informazioni fornite ai pazienti dai medici di medicina generale e dai pediatri di libera scelta nel caso di trattamenti con finalità di ricerca scientifica.

In queste ipotesi, infatti, il Codice specifica all’art. 78 che le informative privacy devono evidenziare analiticamente eventuali trattamenti di dati personali che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in particolare in caso di trattamenti effettuati per fini di ricerca scientifica anche nell’ambito di sperimentazioni cliniche, in conformità alle leggi e ai regolamenti, ponendo in particolare evidenza che il consenso, ove richiesto, è manifestato liberamente.

Facebook
Twitter
LinkedIn
WhatsApp
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e privato nell’ambito della protezione dei dati personali – con

Ti potrebbe interessare anche...

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?