Garante privacy. Decisioni sull’utilizzo dati per ricerca su dialisi e trapianto di fegato

Gli enti privati che si occupano di ricerca medico-epidemiologica non possono utilizzare dati personali raccolti dalle strutture pubbliche di dialisi senza aver prima informato i pazienti in cura e aver acquisito il loro consenso. In alternativa, devono utilizzare esclusivamente dati anonimi.
 
Lo ha stabilito il Garante della privacy nell’ambito del provvedimento con cui ha vietato l'uso dei dati personali dei pazienti a un'associazione di medici nefrologi che gestisce un importante registro italiano delle persone con insufficienza renale cronica. La decisione è stata comunicata nella newsletter diffusa oggi. Il Garante, nel sottolineare l'importanza della ricerca scientifica, ha ribadito tuttavia che essa non può essere condotta senza adottare adeguate misure a tutela della riservatezza dei malati.

Dai riscontri raccolti dall'Autorità a seguito di un'ispezione avviata d'ufficio, è emerso che i responsabili dei registri regionali e provinciali di dialisi e trapianto, gestiti da enti pubblici,  inviavano a questa associazione dati clinici disaggregati sui pazienti con insufficienza renale cronica in trattamento dialitico presso i centri territoriali. I dati erano prima raccolti dall'associazione in un proprio registro nazionale al fine di effettuare analisi statistiche ed epidemiologiche e poi trasferiti su un analogo registro privato europeo.

L'associazione medica, riteneva erroneamente che tali dati fossero anonimi e che, quindi, non fossero necessarie misure e precauzioni a tutela della privacy delle persone in cura. Il Garante ha accertato invece che i dati trasmessi dalle strutture territoriali, pur non contenendo il nominativo degli interessati, riportavano numerose informazioni che rendevano comunque identificabili i malati (codice paziente, data di nascita, codice della malattia) nonché numerosi dati sensibili (come  i risultati degli esami clinici e le patologie in corso).

Nella stessa edizione della newsletter, il Garante ha autorizzato l'Azienda Ospedaliero-Universitaria di Bologna Policlinico S. Orsola Malpighi a trattare anche senza il consenso di tutti i malati coinvolti, i dati sanitari e genetici di circa duecento pazienti nell'ambito dello studio monocentrico Polimorfismi genetici di Interleuchina 28B. Lo studio, volto a monitorare gli esiti clinici di malati con cirrosi epatica sottoposti a trapianto di fegato nel periodo 1 gennaio 2005 – 31 dicembre 2010,  include infatti anche i dati e i campioni dei pazienti deceduti nel periodo successivo al trapianto e quindi impossibilitati a fornire il consenso.

L'azienda potrà trattare i loro dati e campioni purché i pazienti deceduti non si siano opposti in vita al loro uso a scopo di ricerca ma dovrà informare ed avere il consenso delle persone ancora vive. Il Policlinico potrà accedere ai soli dati strettamente indispensabili e pertinenti per la conduzione dello studio. Come previsto dall'Autorizzazione generale sui dati genetici il trattamento di questa tipologia di dati in assenza del consenso degli interessati è possibile solo a seguito di apposita autorizzazione rilasciata dal Garante, sentito il Ministro della salute, che ha acquisito, a tal fine, il parere del Consiglio superiore di sanità.

Il Garante ha però chiesto al Policlinico di riformulare l'informativa precisando l'ambito di comunicazione dei dati e di designare come Responsabile del trattamento il Centro unificato di Ricerca Biomedica Applicata. L'Autorità ha prescritto inoltre al Policlinico di adottare idonee misure di sicurezza con specifico riferimento all'uso di sistemi di autenticazione basati, tra l'altro, su dispositivi biometrici.