Reg. UE Privacy: Obblighi Ricerca Sanitaria

20/01/2017

La libertà della ricerca sanitaria è un principio costituzionalmente garantito, che deve essere bilanciato con il diritto alla protezione dei dati personali e con le altre libertà fondamentali della persona.
Per tale motivo l’attività di ricerca sanitaria, pur rimanendo di per sé libera, deve essere sempre svolta nel pieno rispetto della normativa in materia di privacy.
Ogni attività di ricerca scientifica in ambito sanitario deve, pertanto, essere svolta osservando le seguenti disposizioni di legge:
  • Regolamento UE/2016/679 (Regolamento Europeo Privacy)
  • D.lgs. 196/03 (Codice Privacy)
  • Codice di Deontologia e di Buona Condotta per i Trattamenti di Dati Personali per Scopi Statistici e Scientifici
  • Autorizzazione Generale al trattamento dei dati personali effettuato per scopi di ricerca scientifica.
In particolare l’articolo 5 del Regolamento Europeo Privacy prevede che al trattamento di dati personali per finalità di ricerca scientifica in ambito sanitario non si applichino i seguenti principi privacy:
  • principio di limitazione delle finalità: ovvero il trattamento di dati personali effettuato per scopi scientifici di ricerca sanitaria è considerato compatibile con i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
  • principio di limitazione della conservazione: ovvero in caso di ricerca sanitaria i dati personali possono essere conservati per un periodo di tempo superiore a quello necessario al raggiungimento degli scopi per i quali sono stati raccolti, purché siano adottate misure tecniche e organizzative adeguate a proteggerli.
L’articolo 9 del Regolamento Europeo Privacy prevede, poi, che il trattamento di dati sensibili effettuato per finalità di ricerca scientifica in ambito sanitario possa essere considerato lecito solo se è effettuato adottando specifiche misure tecniche e organizzative, che garantiscano il rispetto dei diritti e delle libertà dell'interessato e prevedano la minimizzazione dei dati personali, la pseudonimizzazione o altre modalità che non consentano di identificare l'interessato.
Infine, il Codice Privacy prescrive che i dati personali trattati per scopi scientifici di ricerca sanitaria non possano essere utilizzati per prendere decisioni o provvedimenti relativi all'interessato, né per trattamenti o scopi di altra natura.
Al fine di intraprendere lecitamente un’attività di ricerca sanitaria, il Titolare del Trattamento è, quindi, tenuto all’adempimento dei seguenti obblighi privacy:
  • redazione di un Progetto di Ricerca Sanitaria
  • conservazione in forma riservata del Progetto di Ricerca Sanitaria per 5 anni dalla conclusione del programma di ricerca scientifica
  • adozione di procedure per la consultazione del Progetto di Ricerca Sanitaria solo per finalità privacy
  • svolgimento di una valutazione d'impatto sulla protezione dei dati ex art. 35 del Regolamento Privacy Europeo
  • istituzione e tenuta del Registro delle Attività di Trattamento (Registro Privacy) ex art 30 del Regolamento UE Privacy
  • adozione delle misure minime di sicurezza ex art. 33 del D.lgs. 196/03
  • adozione delle misure di sicurezza ex art. 31 del D.lgs. 196/03
  • adozione di specifiche misure di sicurezza per l’attività di ricerca sanitaria
  • adozione di procedure per la notificazione e la comunicazione di eventuali violazioni di dati personali
  • adozione di tecniche di pseudonimizzazione, di cifratura, di codici identificativi o di altre soluzioni
  • designazione di un “Data Protection Officer” (Privacy Officer)
  • nomina di eventuali responsabili del trattamento
  • designazione degli incaricati del trattamento
  • nomina degli amministratori di sistema
  • redazione di una dichiarazione di impegno a conformarsi al Codice di Deontologia e di Buona Condotta per i Trattamenti di Dati Personali per Scopi Statistici e Scientifici
  • rispetto delle regole di riservatezza e di sicurezza per gli esercenti le professioni sanitarie, in caso di trattamento di dati idonei a rivelare lo stato di salute
  • redazione di un’idonea informativa privacy ai sensi dell’art. 13 del D.lgs. 196/03
  • redazione di un documento di giustificazione da conservare per 3 anni dalla conclusione del programma di ricerca scientifica, in caso di differimento della consegna dell’informativa privacy
  • acquisizione del consenso privacy al trattamento di dati personali ex art. 23 del Codice Privacy (ove necessario)
  • definizione di procedure per l’esercizio dei diritti dell’interessato
  • definizione di procedure per la comunicazione o diffusione di dati personali
  • definizione di linee guida, procedure e istruzioni per il trattamento di dati personali
(Dr. Eric Falzone – Privacy Advisor – Partner EUCS - Articoli Privacy EUCS – www.eucs.it)