Gli studi clinici non sarebbero possibili senza una accurata gestione e analisi dei dati raccolti nell’ambito della ricerca.
Le società che operano in questo settore si occupano infatti, tra gli altri aspetti, di attività essenziali, come:
- la visualizzazione e il monitoraggio degli sviluppi dello studio;
- l’elaborazione statistica dei dati;
- la gestione e l’aggiornamento della documentazione relativa allo studio;
- l’integrazione dei dati presenti su diversi database eterogenei.
Lo svolgimento di queste attività implica, come ovvio, il trattamento dei dati dei pazienti.
Va precisato che i dati vengono trattati ai sensi del Reg. UE 679/2016 (GDPR) anche nel caso di una loro pseudonimizzazione, consistente nell’utilizzo di codici identificativi applicati per associare il paziente al dato clinico.
Infatti, una simile procedura non consente di far ritenere i dati anonimizzati.
Le società di data analysis e data management trattano i dati clinici dei partecipanti agli studi per conto dei Centri di ricerca e dei Promotori (Titolari del trattamento), motivo per cui si configurano come responsabili del trattamento ai sensi dell’art. 28 del GDPR.
Se, da un lato, è essenziale la stipula del contratto di nomina a responsabile del trattamento, dall’altro non è meno importante verificare che il fornitore possieda i requisiti per trattare correttamente i dati personali dei partecipanti ai trial clinici.
Quali requisiti deve avere la società?
Ogni volta che un Centro di ricerca o una Azienda Sponsor affidano l’analisi e la gestione dei dati a società esterne, hanno una vera e propria responsabilità della corretta scelta di queste ultime, come soggetti a cui trasmettono i dati dei pazienti.
In particolare, in quanto Titolari del trattamento, sono obbligati dall’art. 28 del GDPR a “ricorre[re] unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate”.
Le società esterne devono quindi presentare queste garanzie dimostrando di avere adottato misure tecniche e organizzative adeguate. Allo stesso tempo, tuttavia, il GDPR non fornisce una elencazione di queste misure.
Il Regolamento, infatti, è una normativa fondata sul risk approach, che, anziché fornire prescrizioni specifiche – tantomeno con riferimento a settori verticali come quello degli studi clinici – richiede di valutare sempre il rischio nel caso concreto.
La contrattualizzazione del fornitore deve essere quindi preceduta da una opportuna “verifica privacy” svolta dal Titolare del trattamento dei dati di ricerca, in maniera effettiva e concreta.
Quali documenti dovrà fornire la società?
L’Ente di ricerca o il Promotore possono verificare che il fornitore abbia attuato misure tecniche e organizzative atte a garantire la protezione dei dati a lui trasmessi in outsourcing richiedendogli documentazione che attesti l’adeguatezza della società e dei suoi prodotti e/o servizi sotto il profilo della data protection.
Tra i documenti che possono essere richiesti al fornitore di servizi di data analysis e data management figurano i seguenti:
- politica sulla protezione dei dati adottata dall’azienda;
- dichiarazione di compliance al GDPR delle soluzioni adottate per il trattamento dei dati oggetto della ricerca;
- relazioni di privacy by design e by default delle piattaforme utilizzate per l’analisi e la gestione dei dati clinici;
- rapporti di audit esterni;
- certificazioni internazionali conseguite (es. relative alle norme ISO).
La documentazione può essere richiesta anche per la DPIA
Va aggiunto che tali informazioni saranno ancora più indispensabili se consideriamo che per la gestione e analisi dei dati clinici ci si avvale sempre di più di sistemi IoT e piattaforme all’avanguardia dotate di intelligenza artificiale.
Infatti, i trattamenti svolti attraverso l’uso di tecnologie innovative sono elencati dal Garante Privacy tra le tipologie di trattamenti che i Titolari, in determinati casi, devono sottoporre a DPIA(data processing impact assessment), per analizzare l’impatto del trattamento sulla protezione dei dati personali.
Pertanto, il Centro di ricerca o lo Sponsor, per redigere la DPIA, hanno la necessità di ricevere assistenza da parte dei propri fornitori, peraltro obbligatoriamente prevista dall’art. 28, par. 3, lett. f) del GDPR. Assistenza che si traduce, in sostanza, nella richiesta rivolta alle società di analisi e gestione dati di ricevere la documentazione sopra riportata e, in particolare, le relazioni di privacy by design e by deault delle piattaforme utilizzate nell’ambito degli studi clinici.
