Garante per i dati personali - 24/07/2008 - n. 52 Articolo unico

Questioni preliminari

In Italia il settore delle sperimentazioni cliniche di medicinali era disciplinato principalmente dal d.lgs. n. 211/2003, emanato in attuazione della dir. 2001/20/CE relativa all'applicazione della buona pratica clinica nell'esecuzione delle sperimentazioni cliniche di medicinali per uso clinico.

Tale direttiva è stata abrogata dal Regolamento (UE) n. 536/2014 in materia di sperimentazione clinica di medicinali per uso umano (“CTR”) che è divenuto applicabile dal 31 gennaio 2022, anche se era già in vigore dal 16 giugno 2014: le tempistiche per la sua applicazione sono dipese dallo sviluppo e dalla piena funzionalità di un portale europeo e di un database degli studi clinici che costituiscono l'unico punto di accesso per la presentazione dei dati e delle informazioni concernenti le sperimentazioni cliniche (artt. 80-82, CTR).

Dal 31 gennaio 2022 iniziava un periodo di transizione di un anno durante il quale è stato ancora possibile presentare la domanda di avvio di una sperimentazione clinica secondo la dir. 2001/20/CE. Successivamente a tale periodo di transizione, tutte le domande di autorizzazione sono state presentate secondo la nuova disciplina e, entro il 31 gennaio 2025, tutte le sperimentazioni in corso ed approvate secondo la dir. 2001/20/CE dovranno passare al regime del CTR e del portale unico suddetto (art. 98 CTR).

In base alle disposizioni transitorie di cui all'art. 98 del CTR, il Regolamento in materia di sperimentazione clinica di medicinali per uso umano non trova applicazione per le richieste di autorizzazione ad una sperimentazione clinica presentate prima del 31 gennaio 2022, con riferimento alle quali la sperimentazione continua a essere disciplinata, per i tre anni successivi a tale data dalla normativa del singolo Stato membro di recepimento della previgente dir. 2001/20/CE; le procedure definite da tale normativa nazionale, relative alla valutazione della richiesta e all'autorizzazione della sperimentazione, possono inoltre continuare a trovare applicazione per le richieste che sono state presentate dal 31 gennaio 2022 al 31 gennaio 2023 anche se dal 31 gennaio 2025 dovranno anch'esse passare al regime del CTR e del portale unico suddetto.

Fatte salve le suddette norme transitorie, quindi, il CTR si applica a tutte le sperimentazioni cliniche di medicinali per uso umano condotte nell'Unione europea.

Il reg. (UE) 2016/679 si riferisce esplicitamente al citato regolamento in materia di sperimentazioni cliniche ( considerando 156 e 161 reg. (UE) 2016/679). Stando a quanto chiarito dai Garanti europei, in virtù di tale rimando, entrambe le discipline devono considerarsi applicabili alla fattispecie del trattamento dei dati nell'ambito delle sperimentazioni cliniche, con la precisazione che il reg. (UE) n. 536/2014, rispetto al reg. (UE) 2016/679, rappresenta una normativa settoriale contenente disposizioni specifiche che rilevano dal punto di vista della protezione dei dati, ma che non comportano alcuna deroga alla disciplina del Reg. (UE) 2016/679 (EDPB, op. 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati (articolo 70, paragrafo 1, lettera b), 23 gennaio 2019, 3).

La sperimentazione clinica di medicinali deve essere condotta sulla base di un protocollo di ricerca – inteso come il documento in cui vengono descritti gli obiettivi, la progettazione, la metodologia, gli aspetti statistici e l'organizzazione della sperimentazione art. 2.1.h) della dir. 2001/20/CE e art. 2.1.h) del d.lgs. n. 211/20032.2 del CTR– che deve preventivamente ricevere il parere favorevole del comitato etico competente (cfr. art. 6 della dir. 2001/20/CE; art. 6 d.lgs. n. 211/2003; all. 1 del d.m. 15 luglio 1997, d.m. 12 maggio 2006; d.m. 8 febbraio 2013; art. 4 CTR).

Il protocollo è solitamente predisposto dallo sponsor (ossia quella persona fisica, società, istituzione oppure organismo che si assume la responsabilità di avviare, gestire e o finanziare una sperimentazione clinica ex art. 2.1.e) dir. 2001/20/CE e 2.2. CTR, che generalmente consiste in una casa farmaceutica) in conformità ai principi etici che traggono origine dalla Dichiarazione di Helsinki del giugno 1964, e ai requisiti previsti dalle Linee Guida per la Buona Pratica Clinica CPMP/ICH/135/95 – “GCP” (ossia lo standard internazionale di etica e qualità scientifica per progettare, condurre, registrare e relazionare gli studi clinici che coinvolgano soggetti umani, adottate anche dall'Unione Europea e recepite dal citato d.m. 15 luglio 1997, nonché alla legge applicabile in materia. Nel protocollo vengono definiti aspetti relativi al trattamento dei dati personali, compresi i profili attinenti alla loro custodia e sicurezza, nonché le istruzioni riguardanti le modalità di utilizzo dei sistemi informativi.

Lo sponsor identifica e seleziona accuratamente i centri di sperimentazione, ossia quelle strutture ospedaliere e o universitarie o istituti di ricerca pubblici/privati in cui verranno svolte le attività connesse allo studio. Tali attività sono generalmente condotte da un team di medici ed infermieri guidato dal cd. “Principal investigator” (“sperimentatore principale” o “PI”) che è responsabile dell'esecuzione della sperimentazione clinica all'interno del centro di sperimentazione (art. 2, comma 1, lett. h del d.lgs. n. 211/2003 e 2.2. CTR). ll centro di sperimentazione deve condurre lo studio in conformità al protocollo e alle procedure operative standard “SOP” (istruzioni particolareggiate) del promotore.

Al Principal investigator è riservato il contatto diretto con i soggetti partecipanti allo studio, e, pertanto, assicura che questi ricevano e comprendano appieno tutte le informazioni che riguardano la sperimentazione (in particolare rischi/benefici), compresi gli aspetti relativi al trattamento dei dati personali.

A garanzia dei soggetti che si sottopongono alla sperimentazione, la normativa di settore richiamata impone che a ciascun partecipante, al momento del coinvolgimento nello studio, venga assegnato un codice di identificazione, che è generalmente alfanumerico (d.m. 15 luglio 1997, all. 1 punto 1.58). Tale codice dovrà essere utilizzato in luogo del nominativo nelle comunicazioni dei dati dello studio allo sponsor; quest'ultimo, infatti, non deve venire a conoscenza dell'identità dei pazienti se non in determinati casi previsti dalla legge. Le informazioni che consentono di re-identificare i partecipanti alla sperimentazione (cd. chiavi di identificazione) devono essere custodite dal centro di sperimentazione in maniera riservata in apposite liste e o registri separatamente dal resto della documentazione (d.m. 15 luglio 1997, all. 1 punti 1.21, 1.23, 2.11, 4.9.4, 4.9.5, 5.5.12, 8.1, 8.4.3, 8.3.21).

Il centro di sperimentazione raccoglie i dati clinici ed i campioni biologici dei soggetti partecipanti acquisiti nel corso delle visite mediche e degli accertamenti diagnostici effettuati e li trasmette – così codificati – al promotore attraverso apposite schede di raccolta dati cartacee o elettroniche, cd. “CRF” (d.m. 15 luglio 1997, all. 1 punto 1.11). Ai promotori, inoltre, il centro di sperimentazione dovrà comunicare le segnalazioni di farmacovigilanza di eventi e reazioni avverse, compresa ogni altra informazione pertinente di follow-up(artt. 16,17 e 18 d.lgs. 211/2003 e considerando 40 e art. 41 CTR).

Tali dati confluiscono in un database centralizzato attraverso il quale viene effettuato il controllo e la validazione degli stessi e, successivamente, la loro elaborazione statistica, al fine di conseguire i risultati dello studio.

Il promotore attraverso i propri collaboratori interni o esterni qualificati (cd. Clinical study monitor o monitor ) può accedere alla documentazione medica originaria dello studio (ad esempio cartelle cliniche, referti, moduli di consenso ecc.) conservata presso i centri di sperimentazione per verificare se lo studio si sta svolgendo nel rispetto del protocollo e delle proprie procedure operative standard (SOP) (d.m. 15 luglio 1997, all. 1 punto 1.38 e 1.39 e 48 CTR), senza, tuttavia, violare la riservatezza del soggetto partecipante.

Natura dei dati trattati

Il Garante chiarisce come i dati legati al codice identificativo di ciascun paziente trattati dagli sponsor non possano essere considerati anonimi ma relativi a soggetti ancora identificabili, quindi informazioni personali, ai fini della disciplina applicabile in materia di protezione dei dati (considerando 26 e art. 4 GDPR).

Ne deriva che dalla prospettiva dei promotori la codifica dei dati vada ricondotta a una pseudonimizzazione e non ad una anonimizzazione (v. WP29, op. n. 4/2007 sul concetto di dati personali, 20 giugno 2007, [Wp 136], 19-20).

Sappiamo come, in merito al concetto di identificabilità dell'interessato – intesa come possibilità di pervenire all'identificazione dell'interessato –, ai fini dell'applicazione della disciplina in materia di protezione dei dati personali, sia necessario considerare “tutti i mezzi” che il titolare o un terzo possano ragionevolmente utilizzare per identificare direttamente o indirettamente un interessato ex considerando 26 GDPR o, analogamente a quanto era previsto dal considerando 26 dell'abrogata dir. 95/46/CE richiamata dal provvedimento in esame (in merito si veda: Bolognini, Pelino in Bolognini, Pelino, Bistolfi, 50 e ss.).

Con riguardo alla valutazione relativa al carattere di anomizzazione o pseudonimizzazione dei dati, il Garante svolge una serie di considerazioni.

L'autorità di controllo rileva come, generalmente, tra i dati raccolti nel corso dello studio ci siano anche informazioni caratteristiche dell'identità (ad esempio l'iniziale del nome, l'anno di nascita, età, sesso, etnia, peso, altezza, la presenza di particolari patologie, dati relativi alla storia medica dei soggetti, agli stili di vita, alla vita sessuale, alla collocazione geografica ecc.). La combinazione di tali dati, anche con informazioni esterne, potrebbe comportare la possibilità di riconoscere l'interessato.

Inoltre, nella valutazione dei rischi di identificabilità, il Garante indica di tener conto dei tempi di conservazione della lista che contiene le chiavi di identificazione degli interessati; degli eventuali rischi di violazione delle misure adottate per assicurare l'integrità e la riservatezza dei dati; nonché delle precauzioni che gli addetti al monitoraggio (come i monitor e le autorità regolatorie di settore), che accedono direttamente ai dati dello studio, sono tenuti a osservare per mantenere riservata l'identità delle persone che si sottopongono alla sperimentazione.

A ciò s'aggiungano le circostanze secondo cui il promotore ha la possibilità – in base alla disciplina di settore – di re-identificare il partecipante allo studio: i )eventi o reazioni avverse, al fine di modificare o interrompere la terapia farmacologica somministrata; ii ) effettuare le verifiche, tramite i propri monitor; iii ) far valere o difendere i propri diritti in giudizio.

Merita sottolineare, invero, come tali circostanze non possano che attribuire, allo stesso promotore, la qualifica di titolare del trattamento di dati pseudonimizzati, e dunque di dati personali (v. WP29, op. n. 4/2007 sul concetto di dati personali, 20 giugno 2007, [Wp 136], 19-20).

Notificazione

Il provvedimento in commento richiama l'obbligo di notificazione al Garante (art. 37, comma 1 lett. a e b del cod. privacy A-R) per quei trattamenti effettuati nell'ambito della sperimentazione clinica che implichino dati genetici, o effettuati a fini di indagine epidemiologica.

Ai fini della valutazione di compatibilità, va osservato come l'istituto della notificazione al Garante sia stato abrogato dal citato decreto n. 101/2018 di adeguamento in quanto ritenuto in contrasto con il nuovo quadro normativo europeo; ne deriva che tale prescrizione si debba considerare non applicabile.

Titolarità dei trattamenti finalizzati alla sperimentazione

Occorre premettere che la sperimentazione può essere monocentrica se è effettuata in un solo centro, ovvero multicentrica, se effettuata in base ad un unico protocollo ma in più centri che possono essere ubicati o solo in Italia o in più Stati membri e/o paesi terzi (art. 2.b) della dir. 2001/20/CE, e art. 2.b) del d.lgs. n. 211/2003, d.m. 15 luglio 1997, all. 1 punto 1.40).

Come già accennato, il promotore: i ) seleziona il/i possibile/i centro/i partecipante/i ed elabora il protocollo di ricerca sulla base del quale dovrà essere condotta la sperimentazione, verificandone l'osservanza nel corso dello studio attraverso i monitor; ii ) fornisce al centro di sperimentazione i moduli da utilizzare per informare i partecipanti e ottenerne il consenso, anche al trattamento dei dati personali, nonché ogni altra indicazione necessaria in merito; iii ) raccoglie i dati pseudonimizzati della ricerca che gli vengono comunicati dal centro di sperimentazione tramite le CRF, ne cura l'inserimento nel data base, il controllo e la validazione, e li elabora effettuando analisi statistiche al fine di conseguire i risultati dello studio; iv ) avverte il centro di sperimentazione quando non è più necessario conservare la documentazione dello studio (d.m. 15 luglio 1997, all. 1 punto 4.9.5 e 5.5.12).

Diversamente, al centro di sperimentazione è riservato il contatto diretto con i soggetti che partecipano alla sperimentazione. Attraverso gli sperimentatori, il centro raccoglie, sulla base dei modelli che gli vengono forniti dallo sponsor (CRF), i dati personali (compreso il consenso informato al trattamento dei dati personali) direttamente presso gli interessati. Il centro di sperimentazione, nell'ambito delle tempistiche definite dal promotore, gestisce e custodisce sotto la propria responsabilità la documentazione dello studio, compresa la lista contenente i dati direttamente identificativi degli interessati e i corrispondenti codici e autorizza i collaboratori dello sponsor ad accedervi al fine si svolgere le attività di monitoraggio.

Il Garante osserva come il centro di sperimentazione non sia subordinato al promotore in quanto, sebbene accetti e le SOP del promotore e il protocollo, salvo concordarne alcuni aspetti, esegue la sperimentazione con propria autonomia organizzativa avvalendosi dei collaboratori che ritiene più idonei assumendosi la responsabilità del loro operato. L'autorità chiarisce, ancora, come, in ragione delle attività rispettivamente svolte dagli attori e dei loro ruoli a ambiti di competenza, sembrerebbe che i singoli centri partecipanti abbiano, generalmente, rispetto ai promotori, responsabilità distinte nell'ambito degli studi clinici, configurandosi, tendenzialmente, come autonomi titolari o, in alcuni casi, anche come contitolari del trattamento.

La posizione del Garante appare escludere il ruolo di responsabile del trattamento (art. 28 GDPR) per i centri di sperimentazione, i quali sebbene tenuti al rispetto del protocollo e delle SOP del promotore, sul piano della disciplina del trattamento dei dati personali, non sono vincolati a quest'ultimo per tutti gli aspetti che caratterizzano il rapporto “titolare – responsabile”. Tuttavia, stando all'impostazione recentemente adottata dai garanti europei “nel caso in cui lo sperimentatore non partecipi alla stesura del protocollo (in quanto accetta semplicemente il protocollo già elaborato dallo sponsor) e il protocollo sia elaborato solo dallo sponsor, ai fini della sperimentazione clinica il ricercatore dovrebbe essere considerato responsabile del trattamento e lo sponsor il titolare del trattamento” (EDPB, “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del gdpr, adottate il 7 luglio 2021, 25).

Con riguardo alla contitolarità, alla luce del nuovo quadro normativo di riferimento – come previsto dal reg. (UE) 2016/679 al suo art. 26 e come confermato dall'ex Gruppo di Lavoro Articolo 29 dei Garanti privacy europei (WP29, op. 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, 16 febbraio 2010, [WP169], 18) – questa implica necessariamente la decisione congiunta sulle finalità e sui mezzi del trattamento di dati. I contitolari devono definire in modo trasparente, mediante un accordo interno (ex art. 26 GDPR), le rispettive responsabilità in merito all'osservanza degli obblighi applicabili, riflettendo adeguatamente i rispettivi ruoli e i rapporti con gli interessati.

Come già detto, il centro di sperimentazione, ai fini della conduzione dello studio, deve necessariamente comunicare allo sponsor i dati personali (pseudonimizzati) relativi ai pazienti sottoposti alle sperimentazioni. Ebbene si osserva che, nel caso in cui tra sponsor e centro di sperimentazione si profilasse un rapporto tra titolari autonomi e non una contitolarità, tale comunicazione di informazioni, nonostante indispensabile ai fini della ricerca clinica, rappresenterebbe un “trattamento di comunicazione a terzi” intendendosi per “terzo” il titolare che riceve i dati (sponsor).

Per tale motivo, nelle informazioni sul trattamento dei dati da rendere agli interessati, nonché nella formula di consenso, il Garante suggerisce di indicare specificamente tali soggetti “terzi” affinché il promotore possa acquisire, tramite i centri di sperimentazione, valide manifestazioni di consenso da parte degli interessati al trattamento dei dati.

Ci sono, infine, altri soggetti (terzi rispetto allo sponsor e al centro di sperimentazione) che intervengono nella ricerca in qualità di autonomi titolari. Si tratta delle autorità regolatorie di settore, nazionali, europee ed eventualmente internazionali (tra cui l'AIFA, EMEA) che possono accedere direttamente ai dati della ricerca per lo svolgimento delle attività ispettive.

Sebbene contemplato tra gli elementi dell'informativa agli interessati, il Garante ha ritenuto opportuno sottolineare la necessità che il trattamento da parte di tali terzi (destinatari) deve essere reso noto all'interessato attraverso la stessa informativa. Tale indicazione, peraltro, è compatibile con l'art. 13 del Regolamento.

Altri soggetti che intervengono nella sperimentazione dei farmaci

L'attività di trattamento dei dati effettuata nell'ambito della ricerca viene svolta dai promotori per mezzo del proprio personale appositamente autorizzato (cd. “incaricati”, nell'accezione del codice privacy A-R).

Il promotore, tuttavia, può demandare alcuni o tutti i compiti e le funzioni a lui spettanti nell'ambito della sperimentazione a soggetti esterni (persone fisiche e/o giuridiche), ad esempio organizzazioni di ricerca a contratto “CRO”, laboratori di analisi, professionisti ecc., che in ragione dello svolgimento di tali attività di ricerca – ad esempio attività di monitoraggio inserimento, validazione, analisi statistica dei dati, farmacovigilanza ecc.. (d.m. 15 luglio 1997, all. 1, punto 5.2) –, che trattano i dati personali dei partecipanti per suo conto.

La relazione del promotore con i soggetti esterni va ricondotta al rapporto fra titolare e responsabili esterni del trattamento.

In ogni caso, le persone fisiche preposte al trattamento dei dati nell'ambito della ricerca che operano sotto la diretta autorità del promotore o dello sperimentatore o dei relativi responsabili, devono essere accuratamente selezionate in base alla loro esperienza, capacità ed affidabilità, e trattare i dati in base alle istruzioni loro dettate.

Tali soggetti devono, inoltre, essere adeguatamente formati sui più rilevanti profili della normativa in materia di trattamento dei dati personali applicabile; ove necessario, dovranno essere sottoposti ad appositi interventi formativi, ad esempio in relazione alla procedura per rendere l'informativa agli interessati e raccoglierne il consenso. Il profilo formazione, come osserva il garante, dovrebbe essere preso in considerazione anche dai comitati etici nelle valutazioni relative all'idoneità dello sperimentatore principale e del suo team (art. 6, comma 2, lett. d d.lgs. n. 211/2003).

Con particolare riguardo al monitoraggio (sia esso svolto da personale interno o demandato a soggetti esterni allo sponsor) la particolare delicatezza di tale attività impone che siano puntualmente adottate dal promotore particolari cautele. È fondamentale, infatti, che le persone fisiche addette allo svolgimento di tali attività (monitor) vengano scelte accuratamente (requisiti deontologici, di riservatezza e formazione).

Alla luce del principio di accountability definito dal Regolamento, la loro adeguatezza dovrà essere opportunamente documentata (art. 5.2 GDPR).

I monitor devono essere addestrati dallo Sponsor in modo appropriato sui rischi e sulle responsabilità derivanti dal trattamento delle informazioni personali dei partecipanti allo studio, sulle istruzioni da rispettare per assicurare la riservatezza e l'integrità dei dati (artt. 3, comma 1, lett. c e 11.3 d.lgs. n. 211/2003), nonché sulle specifiche precauzioni da adottare per tutelare l'identità degli interessati anche nei riguardi dello stesso promotore (d.m. 15 luglio 1997, all. 1 punto 1.21 e 2.11).

I monitor devono essere vincolati a regole di condotta analoghe al segreto professionale e sono soggetti al controllo del promotore a cui devono presentare sia all'esito di ogni procedimento di verifica presso il centro di sperimentazione che dopo ogni comunicazione riguardante la sperimentazione, un rapporto scritto (d.m. 15 luglio 1997, all. 1 punto 5.18).

Le stesse cautele che il garante ha previsto per gli sponsor si considerano valide e vincolanti anche per i centri di sperimentazione nel caso in cui esternalizzino attività di ricerca nell'ambito degli studi clinici.

Le misure di garanzia indicate dall'Autorità nel provvedimento appaiono compatibili con le previsioni del reg. (UE) 2016/679 in particolare con l'art. 32.4. il quale prevede che il titolare e il responsabile fanno sì che chiunque agisca sotto la loro autorità abbia accesso ai dati personali solo se istruito.

Inoltre, per quanto concerne le prescrizioni relative ai soggetti che operano in qualità di responsabili del trattamento, è necessario aggiungere che, a differenza di quanto previsto nell'art. 28.4 del cod. privacy A-R, nel contratto attraverso il quale tali soggetti vengono designati dai promotori o dai centri di sperimentazione, ai fini della conformità con il Regolamento, dovranno essere disciplinati tutti gli aspetti previsti dall'art. 28 del gdpr. Tale accordo deve specificare, tra le altre cose, la durata, natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati e gli obblighi e diritti del titolare. I responsabili sono tenuti a eseguire il trattamento dei dati secondo quanto stabilito in tale accordo.

Informativa ai pazienti

Il provvedimento generale in esame prescrive ai titolari di assicurare la trasparenza in relazione ai trattamenti di dati personali effettuati nell'ambito della ricerca.

Per agevolare l'adempimento relativo all'obbligo di informativa, il garante nelle linee guida in commento fornisce un modello di informativa che i promotori possono scegliere di utilizzare.

I medici sperimentatori che sottopongono ai partecipanti l'informativa al momento del loro coinvolgimento nello studio dovranno essere appropriatamente formati, in quanto tali medici sono tenuti ad assicurare la piena comprensione da parte degli interessati degli elementi contenuti nell'informativa per il trattamento dei loro dati personali.

Affinché il promotore possa acquisire, tramite i centri partecipanti, valide manifestazioni di consenso al trattamento dei dati dei pazienti tra gli ulteriori elementi da includere nelle informazioni da rendere ai pazienti-interessati oltre quelle previste dalla normativa in materia di trattamento dei dati personali è necessario specificare: ( i ) che i dati trattati dal promotore sono – sebbene pseudonimizzati – ancora riferibili all'interessato;( ii ) l'eventualità che tali dati vengano trasferiti presso un paese terzo (extra UE); il garante specifica che, nel caso in cui non sia possibile essere a conoscenza, al momento della redazione dell'informativa di tutti i soggetti terzi a cui i dati saranno trasmessi anche in paesi extra-UE occorre specificare come e quando l'elenco completo di tali soggetti verrà reso disponibile; iii ) i ruoli svolti dal promotore e dagli altri soggetti di cui si avvalga per il trattamento dei dati nell'ambito della ricerca (in qualità di incaricati o di responsabili) e in che modalità e per quali finalità vengono trattati i dati; iv ) la possibilità di esercitare i diritti in materia di protezione di dati personali anche nei confronti del promotore.

Invero, come già accennato, il promotore si configura generalmente come titolare (e in alcuni casi contitolare) del trattamento alla stregua del centro di sperimentazione.

Il promotore, ai fini della ricerca deve ricevere i dati (pseudonimizzati) dei partecipanti da parte dei centri di sperimentazione. Come previsto dal regolamento (alla stregua di quanto era previsto anche ai sensi del codice privacy ante-riforma), nell'informativa il promotore deve essere specificamente indicato tra i soggetti che ricevono i dati.

Al di là dei necessari aggiornamenti normativi e della terminologia utilizzata (ad esempio, il termine “informativa” va sostituito con l'espressione “informazioni” ed è necessario riferirsi all'art. 13 del GDPR anziché all'art. 13 del cod. privacy A-R), non si ravvisano particolari criticità in termini di compatibilità col Regolamento.

Consenso al trattamento dei dati

Il Garante specifica come il modello di informativa che i centri di sperimentazione sottopongono agli interessati per acquisire il consenso al trattamento dei dati personali che li riguardano venga di regola predisposto dai promotori e sottoposto all'esame dei comitati etici interessati (artt. 6,7,8 e 11 d.lgs. n. 211/2003).

Dalla lettura dei richiamati articoli del d.lgs. n. 211/2003, tuttavia, non si evince chiaramente che il riferimento al consenso informato – che, nello specifico contesto, riguarda certamente il trattamento sanitario oggetto di sperimentazione – si estenda anche al trattamento dei dati personali.

Con riguardo al consenso, il Garante suggerisce di adottare particolari cautele per acquisirlo, oltre a quelle previste dalla normativa di settore (d.m. 15 luglio 1997, all. 1 punto 1.61 e 4.8), in particolare, in riferimento a persone vulnerabili (ad esempio pazienti affetti da malattie incurabili, o in situazioni di emergenza, o indigenti o ospitati nelle case di riposo o, ancora, ad appartenenti a gruppi “strutturati gerarchicamente”, come gli studenti di medicina, il personale subordinato di un ospedale o di un laboratorio, i dipendenti di una società farmaceutica, ecc.). Il Garante chiarisce come in tali circostanze sia opportuno adottare «procedure per acquisire il consenso informato degli interessati che non si limitino ad approcci meramente formali e individualizzati con i singoli individui, organizzando, ad esempio, momenti di confronto con la generalità o con gruppi di partecipanti, o coinvolgendo le associazioni, anche locali, di pazienti interessati».

Le Linee Guida hanno operato un'importante semplificazione poiché rendono il consenso omnicomprensivo, in quanto riferibile alla partecipazione allo studio, sia con riguardo al centro di sperimentazione sia con riguardo allo sponsor e, infine, anche al trasferimento dei dati in assenza di adeguate garanzie.

Sotto il profilo della compatibilità, tale semplificazione, contemplata dalle linee guida non dispone più della base giuridica del codice privacy ante-riforma (art. 2.2) essendo quest'ultima stata abrogata. Nel vigente Codice privacy non si rinvengono altre basi giuridiche di semplificazione che possono essere utilizzate nel contesto in argomento, né appare possibile adottare le modalità semplificate per la prestazione del consenso di cui all'art. 9 del gdpr contemplate ai sensi dell'art. 6 delle Regole deontologiche adottate dal Garante, in ragione del diverso ambito di applicazione che esclude la sperimentazione clinica (v. art. 2.2, GPDP 19 dicembre 2018, [doc. web n. 9069637], Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. n. 101/2018).

Esercizio dei diritti

Gli interessati possono esercitare i propri diritti previsti dalla normativa in materia di trattamento dei dati personali sia nei confronti del promotore che del centro di sperimentazione, in quanto titolari. Quest'ultimi devono dar seguito alle richieste nei modi e nei tempi stabiliti dalla citata normativa.

Rispetto alla normativa in materia di diritti degli interessati del codice privacy A-R, alla luce della riforma avvenuta ad opera del reg. (UE) 2016/679 e, nel nostro ordinamento, del d.lgs. 101/2018, il riferimento ai diritti degli interessati va ricercato negli artt. 15 e ss. del GDPR. Con particolare riguardo al diritto di rettifica (art. 16), va osservato che l'art. 110, comma 2 del cod. privacy prevede che la rettifica e l'integrazione dei dati vengano annotate senza modifica di quest'ultimi nei casi in cui la rettifica stessa non produce effetti significativi sul risultato della ricerca, fatte salve le misure tecniche ed organizzative contemplate dall'art. 89.1 GDPR. Tale previsione si basa, verosimilmente, sulla considerazione che, sotto il profilo procedurale, un intervento di modifica dei dati potrebbe risultare gravoso per il titolare (in termini economici e di tempo); e che, dunque, la rettifica dovrebbe avere luogo solo ove questa produca effetti significativi sui risultati della ricerca.

Vale la pena segnalare come tale previsione si rinvenga anche nell'art. 12 delle citate Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell'art. 20, comma 4, del d.lgs. n. 101/2018 – GPDP 19 dicembre 2018 [doc. web n. 9069637]. Considerato che le linee guida in commento applicano l'art. 110, comma 2 del cod. privacy, la limitazione del diritto di rettifica si considera compatibile con il nuovo quadro normativo di riferimento in quanto legittimata dal citato art. 110, comma 2 del cod. privacy.

Il paziente può ritirarsi dallo studio in qualsiasi momento e senza fornire alcuna giustificazione [ex art. 3.1.b), c) ed e) d.lgs. n. 211/2003; d.m. 15 luglio 1997, all. 1 punti 1.28 e 4.8; d.m. 21 dicembre 2007, all. 1 punto 6.1.2.5; 3.3 Raccomandazione del Consiglio d'Europa R(83)10 del 23 settembre del 1983]. In tale caso non è più̀ possibile raccogliere ulteriori dati che riguardano gli interessati e i campioni biologici – eventualmente prelevati a tali scopi di ricerca – sono distrutti (per evitare analisi future), salvo che, in origine o a seguito di trattamento, il campione sia stato anonimizzato e, quindi, non possa più̀ essere riferito all'interessato. A questo riguardo il CTR prevede che “fatta salva la direttiva 95/46/CE, la revoca del consenso informato non pregiudica le attività già svolte e l'utilizzo dei dati ottenuti sulla base del consenso informato prima della sua revoca” e ancora “ è opportuno prevedere che, fatta salva la direttiva 95/46/CE, la revoca del consenso informato non incida sui risultati delle attività già realizzate, ad esempio l'archiviazione o l'utilizzo dei dati ottenuti sulla base del consenso informato prima della relativa revoca”.

L'uscita del paziente dal protocollo va inquadrata, quindi, anche sul piano della normativa in materia di protezione dei dati personali. Sul tema va precisato che l'uscita del paziente dallo studio non implica necessariamente la revoca dello stesso al trattamento dei dati personali raccolti. Tuttavia, laddove ricorresse quest'ultima condizione, occorre domandarsi se la previsione del Garante secondo cui «[r]esta impregiudicata la possibilità di utilizzare i dati eventualmente già raccolti per determinare, senza alterarli, i risultati della ricerca » risulti lecita in un'ottica di compatibilità delle linee guida con il Regolamento; liceità che, per il vero, solleva dubbi anche in relazione al precedente quadro normativo, se pure il costrutto della “revoca” del consenso non era codificato e poteva essere riconducibile al diritto di opposizione.

Tale questione, si noti, non sembra invece riproporsi nel citato provvedimento generale emanato nel dicembre 2018 dal Garante, ai sensi dell'art. 21, comma 4 del d.lgs. n. 101/2018, in cui, con riguardo al trattamento dei dati genetici per fini di ricerca scientifica in ambito medico, biomedico ed epidemiologico, l'autorità di controllo sottolinea la cancellazione dei dati, compresi i campioni biologici, derivante dalla revoca del consenso al suddetto trattamento. In tale circostanza, dunque, non resterebbe impregiudicata la possibilità di utilizzare i dati eventualmente già raccolti per determinare, senza alterarli i risultati della ricerca.

D'altro canto il Garante non ha spiegato questa diversa posizione per la ricerca scientifica che implica il trattamento di dati genetici.

Trasferimento di dati all'estero

Nelle sperimentazioni cliniche promosse da soggetti che operano nell'ambito di gruppi multinazionali accade frequentemente che i dati e i campioni biologici dei partecipanti, raccolti dai medici sperimentatori in un Paese, vengano successivamente trasferiti o siano resi accessibili a soggetti (in qualità di responsabili o incaricati) ubicati in paesi terzi (al di fuori dello Spazio Economico Europeo “SEE”) che, per altro, potrebbero non garantire un livello adeguato di protezione dei dati personali.

Le indicazioni previste nelle presenti linee guida in merito al trasferimento dei dati verso paesi terzi od organizzazioni internazionali, dovrebbero essere riviste alla luce della disciplina in materia prevista dagli artt. 44 e ss. del GDPR. In particolare, si tenga presente che il consenso dell'interessato è residuale rispetto agli strumenti forniti dal legislatore europeo agli artt. 45, 46, 47, tra le altre condizioni previste dall'art. 49 del GDPR. Peraltro, il consenso richiesto dal legislatore europeo per legittimare il trasferimento dei dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate è un consenso esplicito; al riguardo al riguardo si precisa che il carattere di esplicitazione del consenso va ricercata in una manifestazione di volontà espressa dall'interessato, non potendo dunque essere desunta da un comportamento concludente.

Inoltre, come già accennato, il consenso richiesto all'interessato, in virtù della semplificazione operata dal Garante, è omnicomprensivo in quanto riferibile sia alla partecipazione allo studio (da parte del centro di sperimentazione e dello sponsor) sia al trasferimento dei dati in assenza di adeguate garanzie. Sul punto valgono le stesse considerazioni contenute nel precedente paragrafo 8.

Periodo di conservazione e trattamento di dati per ulteriori fini di ricerca

Di regola, i dati e i campioni biologici raccolti dovrebbero essere conservati (anche presso soggetti esterni) fino al raggiungimento delle finalità della ricerca. Tuttavia, la disciplina di settore prescrive in capo al promotore e allo sperimentatore la conservazione della documentazione essenziale relativa allo studio per almeno sette anni dal completamento della ricerca ovvero per un periodo più lungo nel caso in cui ciò sia richiesto da altre norme applicabili o sia previsto da un accordo tra il promotore e il centro di sperimentazione partecipante (ex art. 18 d.lgs. n. 200/2007; d.lgs. n. 219/2006, all. 1, punto 5.2, lett. c); d.m. 15 luglio 1997, all. 1, punti 4.9.4, 4.9.5, 5.5.11 e 5.5.12; si consideri inoltre, che, ai sensi dell'art. 58 del Reg. (UE) n. 536/2014 il promotore e lo sperimentatore dovranno conservare il contenuto del fascicolo permanente della sperimentazione clinica per almeno venticinque anni dalla conclusione della medesima).

Il Garante precisa come tale possibilità di conservare la documentazione per un periodo più lungo potrebbe essere valutata tenendo conto della «durata dell'autorizzazione d'immissione in commercio del farmaco in sperimentazione o eventuali ulteriori esigenze di analisi dei dati, connesse ad esempio, a nuove domande d'immissione in commercio o di estensione dell'autorizzazione, ovvero al manifestarsi di evidenze significative per la sicurezza dei pazienti».

Nel provvedimento è stabilito che il promotore può richiedere un ulteriore e specifico consenso distinto da quello manifestato per lo studio precedente, per utilizzare in future attività di studio e di ricerca i dati e i campioni biologici riconducibili alle persone coinvolte.

L'indicazione sembrerebbe rimanere conforme al nuovo quadro normativo nazionale di riferimento ed, in particolare, a quanto disposto dagli artt. 99 e 110 del cod. privacy. Tuttavia, rispetto all'approccio adottato dal legislatore europeo, anche in materia di secondary use dei dati (art. 5.1.b) e considerando 50, art. 89.1 GDPR), va evidenziato che, nell'ambito della ricerca scientifica in ambito medico, biomedico ed epidemiologico, il trattamento ulteriore può essere effettuato solo sulla base del consenso dell'interessato, a meno che non sia previsto in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea in conformità all'art. 9.2.j), del GDPR, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'art. 12-bis del d.lgs. n. 502/1992, e salvo circostanze eccezionali in cui, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.

Custodia e sicurezza dei dati

Il Garante ha individuato delle specifiche misure tecniche per incrementare la sicurezza dei dati trattati nell'ambito delle sperimentazioni cliniche che i promotori, le organizzazioni di ricerca a contratto e i centri di sperimentazione, ciascuno in ragione del proprio ruolo e per i propri ambiti di competenza e responsabilità, sono tenuti ad adottare.

Specificamente, con riferimento alle operazioni di registrazione con strumenti elettronici dei dati delle persone coinvolte nello studio presso i centri di sperimentazione, le linee guida prescrivono l'adozione di misure come l'applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure l'adozione di diverse altre misure informatiche che rendano inintelligibili i dati ai soggetti non autorizzati. Tali misure servono a garantire la tutela della riservatezza e dell'integrità dei dati registrati nei sistemi di memorizzazione o archiviazione (es. supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi).

In relazione, invece, al trasferimento in via telematica dei dati dei partecipanti verso il database unico presso il promotore (o presso gli altri soggetti che per conto del promotore effettuano la validazione e l'elaborazione statistica dei dati, nonché alla gestione della medesima banca dati) l'autorità prescrive l'uso di protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici.

Inoltre, in riferimento al predetto database centralizzato, il provvedimento generale in commento stabilisce di adottare idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli ricoperti e delle esigenze di accesso e trattamento; lo stesso provvedimento prevede altresì procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati del trattamento.

Infine, il provvedimento sottolinea la necessità di implementare sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

In termini di compatibilità con la disciplina vigente in materia di protezione dei dati personali, si rileva come non sia più corretto riferirsi al concetto di “misure minime di sicurezza” e all'abrogato allegato tecnico (Allegato B) al codice privacy. A tal riguardo, gli specifici accorgimenti tecnici indicati dal Garante devono essere mantenuti, fermo restando tutte le ulteriori misure tecniche ed organizzative adeguate che tali soggetti devono adottare per «garantire un livello di sicurezza adeguato al rischio» in ossequio agli artt. 5.1.f) e 5.2, 24,25,32 GDPR. Tale assunto va ricondotto alla verifica di compatibilità alla nuova disciplina, da parte dell'Autorità, in cui si osserva come i predetti accorgimenti tecnici siano stati riproposti nella loro sostanza “Provvedimento recante le prescrizioni relative al trattamento di categorie di dati, ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”, GPDP 5 giugno 2019, [doc. web n. 9124510], nella parte in cui sono previste le prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (cfr. art. 5.7).

Gli orientamenti dell'EDPB in tema di ricerca medica e sperimentazioni cliniche

Oltre al provvedimento del Garante in esame, in tema di sperimentazioni cliniche vale la pena ricordare brevemente anche gli orientamenti espressi dall'EDPB, di particolare interesse ove si conducano studi clinici multicentrici in diversi Stati Membri. Il Comitato si è espresso dapprima con il Parere 3/2019 relativo alle domande e risposte sull'interazione tra il regolamento sulla sperimentazione clinica (Clinical Trial Regulation, o CTR) e il regolamento generale sulla protezione dei dati, adottato il 23 gennaio 2019, dove è stato preso in considerazione il tema della base giuridica del trattamento. In particolare, il Comitato distingue due diverse categorie di trattamenti nell'ambito del ciclo di vita di una sperimentazione clinica, che prevedono diverse basi giuridiche: quelli che attengono strettamente alla ricerca e quelli che riguardano la tutela della salute (es. fissando standard di qualità e sicurezza dei medicinali). Secondo il Comitato i trattamenti rientranti in quest'ultima categoria sono effettuati sulla base di un obbligo di legge, ai sensi dell'art. 6.1.c del GDPR. Ci si riferisce in particolare agli obblighi relativi alle comunicazioni in materia di sicurezza (articoli da 41 a 43 CTR) all'obbligo di archiviazione del fascicolo della sperimentazione clinica (art. 58 CTR) e alla comunicazione di dati di sperimentazione clinica alle autorità nazionali competenti nel corso di un'ispezione (artt. da 77 a 79 CTR). Per quanto riguarda i dati relativi alla salute, in questo caso l'eccezione dell'art. 9 GDPR applicabile è quella relativa ai motivi di interesse pubblico nel settore della sanità pubblica, quali la garanzia di parametri elevati di qualità̀ e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, prevista dall'art. 9.2. i GDPR. Per quanto riguarda invece i trattamenti strettamente legati all'attività ricerca, posto che per gli stessi non è configurabile l'obbligo di legge, l'EDPB ipotizza le seguenti possibili basi giuridiche: consenso esplicito ai sensi dell'art. 6.1. a, in combinato disposto con l'art. 9.2.a.; esecuzione di un compito di interesse pubblico ai sensi dell'art. 6.1.e. oppure legittimo interesse del Titolare del trattamento secondo l'art. 6.1.f, in combinato disposto con l'art. 9.2, lettera i) o j) GDPR. Con riferimento al consenso, l'EDPB sottolinea come il consenso informato previsto dalla CTR (che risponde a requisiti etici) non debba essere confuso con il consenso quale base giuridica per il trattamento dei dati personali, che deve essere esplicito e rispettare tutte le condizioni per un consenso valido previste dal GDPR. In particolare il consenso dovrà essere libero e non dovrà essere conferito in condizioni di squilibrio tra il titolare e l'interessato. Sul punto in particolare il Comitato evidenzia quanto segue: “occorre tenere presente che, sebbene siano soddisfatte le condizioni per un consenso informato ai sensi del regolamento sulla sperimentazione clinica, una chiara situazione di squilibrio di potere tra il partecipante e il promotore/lo sperimentatore implica che il consenso non è “espresso liberamente” ai sensi del regolamento generale sulla protezione dei dati. Secondo il Comitato si verifica una tale situazione, ad esempio, quando il partecipante non è in buone condizioni di salute, appartiene a un gruppo economicamente o socialmente svantaggiato o si trova in una situazione di dipendenza istituzionale o gerarchica. Pertanto, come spiegato nelle richiamate linee guida, nella maggior parte dei casi il consenso non costituirà̀ una base giuridica appropriata e occorrerà̀ fare riferimento ad altre basi giuridiche (si vedano infra le basi giuridiche alternative). Di conseguenza, il Comitato ritiene che il titolare del trattamento dovrebbe effettuare una valutazione particolarmente approfondita delle circostanze della sperimentazione clinica prima di ricorrere al consenso dell'interessato come base giuridica per trattare i dati personali ai fini delle attività̀ di ricerca di tale sperimentazione” (EDPB, op. 3/2019, punti 20 e 21). Nell'opinion 3/2019 l'EDPB si esprime anche sulla questione relativa all'uso secondario dei dati di sperimentazione clinica, al di fuori del protocollo, per fini scientifici, affermando che in determinate condizioni potrebbe essere possibile anche senza necessità di una nuova base giuridica. In particolare, si ci potrebbe riferire alla presunzione di compatibilità̀ di cui all'art. 5 GDPR, fatte salve le condizioni di cui all'art. 89 GDPR. Sul punto si riserva tuttavia future analisi e chiarimenti.

Successivamente l'EDPB si è nuovamente espresso in materia con il documento in risposta alle richieste di chiarimento della Commissione Europea e avente ad oggetto la ricerca medica, del 2 febbraio 2021, dove ha ribadito che la ricerca scientifica non richiede necessariamente il consenso quale base giuridica del trattamento, e che possono essere considerate le altre basi giuridiche previste dall'art 6 GDPR e le altre eccezioni previste dall'art. 9 GDPR. Ciò non confligge con il consenso informato previsto dalla normativa in tema di sperimentazioni, che dovrà comunque essere richiesto, rispondendo a requisiti etici, e che in ottica GDPR potrà essere letto come una salvaguardia aggiuntiva di cui all'art 89 GDPR per il trattamento di dati personali per finalità di ricerca scientifica. Inoltre viene ribadito che, nel caso in cui si scelga di basare i trattamenti dei dati sul consenso, vi è la necessità di verificare, con analisi caso per caso, se il consenso sia o meno prestato liberamente, in assenza di squilibrio tra interessato e titolare. In particolare, tale squilibrio potrebbe sussistere, a seconda delle circostanze, ove il paziente sia in cattive condizioni di salute e non vi siano alternative terapeutiche alla sperimentazione clinica. Altro tema importante che viene affrontato è quello relativo all'ipotesi di un progetto di ricerca medica condotto da un singolo sponsor/titolare e che coinvolga diversi individui in diversi stati membri ed alla possibilità che siano utilizzate diverse ed eterogenee basi giuridiche. Le scelte fatte dalla legislazione nazionale dei vari stati membri, infatti, possono avere un grosso impatto in quanto influenzano le basi giuridiche di cui all'art. 6.1.c, 6.1.e e 6.1.g, nonché le eccezioni previste dall'art. 9.2.i e 9.2.j. Inoltre, deve essere presa in considerazione la possibilità prevista dall'art. 9.4 GDPR per gli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, per il trattamento dei dati genetici, biometrici e relativi alla salute. È inoltre evidenziato che nei vari Stati membri sussistono differenze significative rispetto alla base giuridica utilizzata per le sperimentazioni. Al quesito sollevato in merito alla possibilità di rispettare il principio di correttezza e di uguaglianza del trattamento dei soggetti che partecipano ad uno studio, pur in presenza di diverse basi giuridiche, l'EDPB risponde auspicando (e suggerendo) l'utilizzo della medesima base giuridica, ove possibile. In ogni caso, viene comunque prevista la possibilità che si debba ricorrere a basi giuridiche diverse in considerazione delle leggi nazionali vigenti (e viene specificato che questa mancanza di omogeneità non può essere risolta dalle linee guida del comitato o da codici di condotta) In tali casi, viene inoltre suggerito ai titolari del trattamento di limitare le conseguenze del diverso regime legale vigente nei diversi stati membri, ad esempio ottimizzando ed armonizzando i diritti degli interessati indipendentemente dallo stato in cui si trovino. Quanto al diritto dell'Unione Europea, l'unica regolamentazione comune che può essere considerata ai fini della determinazione della base giuridica è la CTR, che tuttavia non copre la totalità dei trattamenti rilevanti. Quanto all'uso secondario dei dati, è chiarito che, indipendentemente dall'interpretazione del principio di compatibilità di cui all'art. 5 GDPR, è necessario che siano adottate le salvaguardie ulteriori di cui all'art. 89 GDPR, su cui l'EDPB si riserva ulteriori chiarimenti. Nel documento viene affrontato anche il tema relativo al “broad consent” di cui al considerando 33 GDPR, che non può essere utilizzato per giustificare qualsiasi futura ricerca, non specificata, ma deve comunque essere delimitato tenendo in considerazione le aree di ricerca, e deve essere connesso al contesto in cui dati sono raccolti, valutando altresì le aspettative degli interessati. Con riferimento all'anonimizzazione, viene consigliato un approccio cauto, in considerazione della difficoltà di realizzarla nell'ambito della ricerca clinica, anche da un punto di vista tecnico: l'anonimizzazione dovrà essere valutata in base al test di compatibilità di cui al considerando 26 GDPR, e dovrà comunque essere verificata su base periodica. In particolare, appare difficile garantire l'anonimizzazione per i dati genetici, per cui viene raccomandato fortemente di considerarli comunque dati personali e di implementare misure tecniche e organizzative in grado di assicurare la conformità al GDPR. Infine, in merito all'eventuale obbligo di condurre una DPIA ai sensi dell'art. 35 GDPR, viene sottolineato che non deve farsi riferimento unicamente all'ipotesi di cui all'art. 35.2.b (trattamento di dati di salute su larga scala) ma in generale ai criteri indicati dall'art. 35 GDPR in sé: sarà dunque necessaria una DPIA ogniqualvolta sia ravvisabile un'alta probabilità di rischio per i diritti e le libertà degli interessati, da valutarsi anche alla luce delle indicazioni del WP29 e degli elenchi di trattamenti soggetti a obbligo di valutazione di impatto pubblicati dalle varie autorità nazionali.