Il diritto alla privacy è un tema molto sentito al giorno d’oggi, soprattutto in un contesto caratterizzato dalla pervasiva invandenza di tecnologie che la mette a rischio. Un argine a questa invadenza è stata posto con lo sviluppo di un regolamento europeo, il GDPR (General Data Protection Regulation), che dal 2016 detta i principi base per la protezione dei dati dei cittadini europei.
In Italia questo regolamento è stato prima recepito nalla sua interezza, poi modificato in alcune alcune parti tramite decreto, creando non pochi problemi allo svolgimento di alcuni tipi di ricerca clinica, in particolare quella osservazionale.
È su questo tema che recentemente Celeste Cagnazzo, Study Coordinator presso il Dipartimento Patologia e Cura del Bambino “Regina Margherita” della Azienda Ospedaliera Città della salute di Torino nonché presidente del GIDM (Gruppo Italiano Data Manager) e membro del Comitato Scientifico di Osservatorio Trial, ha pubblicato una lettera su the Lancet Oncology lanciando un grido di allarme per la peculiare situazione Italiana. L’abbiamo quindi raggiunta per approfondire il tema e farci spiegare quali siano le criticità di questa situazione.
Partiamo innanzitutto da un concetto chiave: la posizione che lei sostiene è contro il GDPR?
Certamente no. Il Regolamento 2016/679 (GDPR) è nato sicuramente con intenti nobili. In un’epoca come questa, che ormai possiamo definire digitale un po' in tutti gli ambiti della nostra vita, il problema dell’utilizzo non autorizzato e a fini di lucro, da parte aziende private, dei dati personali degli utenti doveva necessariamente essere regolamentato. Questo per garantire la massima tutela dei diritti e delle libertà fondamentali dei cittadini Europei.
Nell’ambito della ricerca, però, questo si è tradotto nella necessità di chiedere un nuovo consenso al pazienti tutte le volte che suoi dati vengono trattati per una finalità differente rispetto a quella per cui erano stati precedentemente raccolti, pur continuando a trattarli in maniera pseudoanomima.
Facciamo un esempio?
Immaginiamo di disegnare uno studio retrospettivo per il quale abbiamo necessità di analizzare dati già presenti in cartella clinica, raccolti sia per normale pratica clinica che per una ricerca. Ovviamente, per entrambi i casi, il paziente avrà già firmato un apposito modulo per il trattamento dati ma ciò non conta e noi siamo costretti a chiedere un terzo consenso in quanto la finalità di trattamento è diversa dalle precedenti.
Al di là della ridondanza delle procedure e, spesso, di conseguenti problemi logistici/amministrativi, si pone un grosso problema anche di natura etica; è davvero necessario che io chiami parenti di pazienti che con ogni probabilità sono deceduti? Pensiamo ad esempio agli studi condotti su pazienti pediatrici in cui in ogni caso i genitori sono gli interlocutori diretti.
Questa restrizione è direttamente collegata al GDPR?
Non del tutto. In passato, con una prescrizione del 2016, il Garante aveva dato la possibilità, in casi particolari (es: motivi etici e pazienti deceduti) di poter procedere anche in assenza del consenso dell’interessato. Poi, nonostante il GDPR dovesse essere semplicemente implementato negli stati Membri senza ulteriori passaggi, in Italia è stato emanato il Decreto Legislativo 10 agosto 2018, n. 101.
Quindi ora, anche negli stessi casi particolari citati nella precedente prescrizione del 2016, è necessaria una preventiva autorizzazione alla ricerca da parte del Garante per la Privacy Italiano.
Il che, immagino, comporti una notevole complicazione dello studio.
Molto di più. Immaginiamo lo studio retrospettivo di prima che deve esaminare i dati di una popolazione di pazienti ormai, purtroppo, deceduti. Oggi come oggi sono obbligata ad inviare una specifica richiesta di autorizzazione al garante, il quale ha 45 giorni per darmi una risposta.
E se il Garante non risponde in tempo?
Vale il silenzio dissenso, quindi la ricerca non si potrà fare. Ma esiste una sorta di eccezione per gli istituti come gli IRCSS che hanno come obiettivo istituzionale quello della ricerca. In quel caso si da in qualche modo per scontato che il paziente abbia dato un consenso ab inizio per l’utilizzo dei suoi dati ai fini di ricerca.
Questa dualità di trattamento tra Ospedali/Università e IRCSS la osserviamo anche in altri ambiti della ricerca ma, dati alla mano, non sembra completamente giustificata. La ricerca non si svolge solo negli IRCSS, non crede?
Si, a voler essere diplomatici. Innanzitutto dovremmo smettere di pensare che la buona ricerca si faccia solo negli IRCSS, quindi non vedo perché il legislatore debba mettere in piedi iter differenti. Poi, forse, sarebbe utile ricordare che la ricerca, per definizione, è uno scenario in continuo mutamento, e già solo il lasso di tempo tra la fase di ideazione di uno studio e la sua reale partenza (lasso, ahimè, piuttosto lungo a causa di numerose e spesso inutili richieste burocratiche) è soggetto a nuove scoperte che potrebbero tradursi in nuove finalità di trattamento (banalmente nuove metodiche di processamento campioni biologici). Come si possono, quindi, definire a priori tutte le possibilità future?
Ed infatti il GDPR a questo aveva pensato, introducendo dei Considerando (primo tra tutti il 33) che invitavano espressamente a trattare l’ambito di ricerca in maniera differente rispetto a tutti gli altri. Del resto ci avviciniamo (finalmente!) alla piena applicazione del Regolamento 536/2014 che parla di one time consent, di fatto aprendo alla possibilità di utilizzo dati per finalità secondarie rispetto a quelle per cui sono state raccolte. E ancora mi chiedo, il Garante ha davvero pensato alla mole di lavoro che avrebbe se tutti dovessimo seguire il Decreto 101? Fermo restando che non sono sicura possa contare, al proprio interno, su personale esperto in ambito di ricerca che possa portare avanti una valutazione davvero assennata.
Un dubbio che apre scenari foschi, anche in considerazione del previsto silenzio/dissenso nei temini previsti. E tutto questo come viene visto dal punto di vista dei pazienti?
Mi piacerebbe che fosse spiegato a loro, in termini semplici, tutto questo. Siamo sicuri che ritengano necessario essere disturbati continuamente per firmare nuovi consensi invece di, in qualche modo, “donare” i propri dati e campioni biologici per far progredire il progresso scientifico? Tutto fatto salvo, ovviamente, la stretta tutela dell’anonimato.
Siamo onesti, siamo tutti abbastanza schiavi di social network e relative applicazioni e non mi sembra che ci poniamo questi grossissimi problemi a cedere i nostri dati per vedere come sarà la nostra faccia tra 20 anni. E ancora una volta temo si sia perso di vista il contesto; siamo sul filo del rasoio tra l’etica individuale, con la necessità di tutelare i dati personali del singolo, e quella collettiva, caratterizzata dalla necessità di un progresso scientifico di cui beneficerebbero anche i singoli individui. E mi sembra che la bilancia in questo momento non sia per nulla in equilibrio.
Cosa possiamo fare?
Beh certamente essere maggiormente consapevoli della problematica, perché non sono sicura che ci sia una grossa formazione a riguardo, ma soprattutto fare squadra. Sicuramente è un problema che affligge quasi esclusivamente la ricerca accademica, ed è proprio in un contesto accademico che il malcontento dovrebbe essere trasformato in un movens che porti per lo meno a far ragionare il Garante.
Anche perché, e con questo lancio l’ennesima provocazione, occuparsi del problema GDPR significa comprendere che la ricerca osservazionale non è una ricerca di serie B e merita la stessa “dignità scientifica” (anche e soprattutto in ambito regolatorio) pari a quella degli studi interventistici farmacologici.