La Società
Soci SIF
Pubblicazioni
Attività
Eventi
Borse di studio
Press
SIF Magazine
Pagamenti
Cerca
La Società
La società
Documentazione societaria
Contatti
Pubblicazioni
Testate SIF
Covid 19
Documenti
Soci SIF
Informazioni
Documentazione Societaria
Pagamenti

Documenti / Altri Documenti

16 settembre 2024

Come conciliare la generazione di Real-World Evidence (RWE) e Data Protection?

Pubblichiamo una sintesi dei principali spunti emersi dalla sessione del simposio “Come conciliare la generazione di RWE e Data Protection?” in cui è stato approfondito il tema “data protection” in relazione all’utilizzo di dati sanitari per la conduzione di studi di farmacovigilanza, cioè di sorveglianza post-marketing, e più in generale di ricerca scientifica.

Nei giorni 11 e 12 Luglio 2024, presso l’Eolian Hotel di Milazzo (ME), si è tenuto il “9° Simposio sul ruolo della Real-World Evidence a supporto delle politiche del farmaco, incentrato quest’anno su “terapie farmacologiche innovative nel management delle cronicità tra accesso, sostenibilità ed appropriatezza prescrittiva”. Tale simposio, patrocinato dalle Società Scientifiche Italiane di Farmacologia (SIF), Farmacia Ospedaliera e dei Servizi Farmaceutici delle Aziende Sanitarie (SIFO), e Dermatologia e Malattie Sessualmente Trasmissibili (SIDeMaST), Farmindustria ed Egualia, è stato organizzato dal Prof. Gianluca Trifirò, Professore Ordinario di Farmacologia e Direttore della Scuola di Specializzazione di Farmacologia e Tossicologia Clinica dell’Università di Verona, dal Prof. Claudio Guarneri, Professore Ordinario di Dermatologia dell’Università degli studi di Messina, e dalla dott.ssa Giovanna Scroccaro, Direttrice dell’Ufficio Direzione Farmaceutico, Protesica, e Dispositivi Medici della Regione Veneto.

L‘evento ha coinvolto farmacologi ed epidemiologi di diverse Università, agenzie regionali ed Istituto Superiore di Sanità, rappresentanti di associazioni di pazienti, clinici, dirigenti sanitari regionali e dell’industria farmaceutica, referenti di Centri Regionali di Farmacovigilanza, Data Protection Officers (DPO), legali di aziende sanitarie ed I.R.C.C.S. e con la preziosa partecipazione del Direttore del Dipartimento di Sanità e Ricerca Scientifica del Garante per la Protezione dei Dati Personali (GPDP).

Di seguito si riporta una sintesi dei principali spunti emersi dalla sessione del simposio “Come conciliare la generazione di RWE e Data Protection?” in cui è stato approfondito il tema “data protection” in relazione all’utilizzo di dati sanitari per la conduzione di studi di farmacovigilanza, cioè di sorveglianza post-marketing, e più in generale di ricerca scientifica.

  1. Conciliazione di data protection con conduzione di studi di farmacovigilanza e di ricerca scientifica in ambito sanitario: uno sguardo alla normativa vigente
  2. Quadro normativo e valutazione di impatto

Dalla sessione è emerso come le attività di farmacovigilanza siano attività di ricerca in sanità pubblica che vanno considerate in maniera simile, seppur non del tutto coincidente, alle attività finalizzate alla pianificazione sanitaria. In tale contesto è necessario individuare il quadro normativo entro cui operare per effettuare il trattamento di dati sensibili, ovvero dati particolari ai sensi dell’Articolo 9 Regolamento (UE) 2016/679 (GDPR), essendo spesso impossibile o richiedendo uno sforzo sproporzionato la raccolta del  consenso al trattamento dei dati personali degli interessati.

In particolare, nel corso dell’incontro sono stati analizzati gli impatti operativi sulla ricerca scientifica degli articoli 110 (così come modificato dalla Legge n. 56 del 2024) e 110-bis del Decreto Legislativo n. 196 del 2003 (Codice Privacy), nonché dal Provvedimento del GPDP n. 298 del 9 maggio 2024 (Provvedimento). Di seguito si riportano sinteticamente i tre ambiti principali analizzati.

Il primo attiene al trattamento dei dati relativi alla salute per finalità di ricerca – ai sensi dell’art. 110, comma 1, Codice Privacy – che può essere svolto in assenza del consenso dell'interessato “quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione Europea in conformità all'articolo 9, paragrafo 2, lettera j), del GDPR, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d'impatto ai sensi degli articoli 35 e 36 GDPR”.

Il secondo, sempre in rapporto all’articolo 110 comma 1 (oggetto di un intervento del legislatore entrato in vigore il 1° maggio 2024 con la L.  56/2024 che ne ha emendato in termini sostanziali la struttura previgente), attiene ai casi in cui non è possibile acquisire il consenso dell’interessato in quanto “risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca”. In tali casi, l’articolo in commento prevede che il titolare del trattamento adotti “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato”, che andranno dettagliatamente illustrate ed analizzate all’interno di una valutazione d’impatto (VIP) ai sensi dell’art. 35 GDPR. Inoltre, il protocollo di studio dovrà essere oggetto di motivato parere favorevole da parte del comitato etico competente a livello territoriale. Nella nuova formulazione dell’art. 110 comma 1, è bene evidenziare come non sia più previsto l’obbligo di “consultazione preventiva” del GPDP ma solo quelli di motivare e documentare accuratamente le ragioni che impediscono l’acquisizione del consenso e di effettuare e  pubblicare, la VIP “dandone comunicazione” al Garante. Sono queste ultime le preliminari garanzie da adottare definite dall’Autorità nel Provvedimento n. 298 del 9 maggio 2024.

Fa d’uopo precisare come eliminando la consultazione preventiva dall’art. 110, c.1, Codice Privacy, il legislatore non abbia ridotto le tutele per i diritti e le libertà degli interessati, quanto piuttosto abbia valorizzato il concetto di “accountability” del titolare del trattamento nella previsione delle misure di cui agli articoli 24 e 25 del GDPR, applicando concretamente i principi di privacy by design e privacy by default, trasfondendo e determinando le misure tecniche ed organizzative adottate all’interno della valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.

Il Provvedimento citato ha chiarito – inter alia – i motivi di impossibilità organizzativa ad acquisire il consenso degli interessati che concernono sia quelli derivanti dalla circostanza, da considerarsi del tutto residuale, che contattare gli interessati implicherebbe: (i) uno sforzo sproporzionato vista la particolare elevata numerosità del campione; (ii) quelli derivanti dalla circostanza, alternativa alla precedente, che all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto pubblicamente accessibili) essi risultino al momento dell’arruolamento nello studio, deceduti o non contattabili. Sono invece motivi etici quelli riconducibili alla circostanza che l’interessato ignora la propria condizione.

Il terzo ambito analizzato attiene ai trattamenti effettuati dagli Istituti di Ricovero e Cura a Carattere Scientifico (pubblici e privati), in relazione ai dati personali raccolti per l’attività clinica e utilizzati anche per fini di ricerca scientifica, individuando nell’articolo 110-bis, comma 4 del Codice, una idonea base giuridica atta a legittimare tale trattamento, in deroga al generale divieto di trattare i dati sulla salute e i dati genetici. Nel corso del Simposio è stato preso in esame tale quadro normativo in particolare alla luce delle FAQ pubblicate dal GPDP il 6 giugno 2024, in cui il “Garante ha dunque chiarito che gli IRCCS pubblici e privati, oltre che sul consenso dei partecipanti alla ricerca, possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca sull’art. 110-bis, comma 4 del Codice privacy, in base al quale non costituisce trattamento ulteriore dei dati raccolti per l’attività clinica, quello svolto a fini di ricerca”.

L’Art. 110-bis, comma 4, da applicarsi in combinato disposto con l’art. 110,comma 1 del Codice, non riduce le cautele o ridimensiona il perimetro di tutela per gli interessati ma, anche in questo caso, pone come centrale il tema della responsabilizzazione del titolare nella definizione di adeguate misure tecniche ed organizzative, in quanto gli IRCCS che si avvalgono di tale “deroga” hanno l’obbligo di svolgere e pubblicare sui propri siti web la valutazione d’impatto, anche per estratto nei casi in cui la pubblicazione per intero possa ledere diritti di proprietà intellettuale.

Le attività di farmacovigilanza attiva volte al perseguimento di scopi di ricerca richieste da AIFA (anche in collaborazione l’Istituto Superiore di Sanità), pertanto potrebbero essere collocate all’interno del campo di applicazione del comma 1 dell’Articolo 110 del Codice della Privacy, con le cautele previste e precedentemente illustrate.

Il Garante, inoltre, con il Provvedimento del 9 Maggio 2024 ha avviato il processo di adozione di nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica invitando i soggetti pubblici e privati che ritengono di avere titolo a sottoscrivere le Regole deontologiche a manifestare la propria disponibilità a partecipare ai lavori, al fine di creare un tavolo di dialogo tra DPO, giuristi e ricercatori interessati nella riformulazione delle suddette regole, che costituiscono condizione di liceità e correttezza dei trattamenti, con lo scopo di trovare misure più adeguate  alla recente riforma normativa e al dirompente impatto delle nuove tecnologie nel contesto dell’attività di ricerca.

  1. Altri aspetti per favorire la conduzione di studi di farmacovigilanza e progetti nazionali e internazionali di ricerca scientifica in ambito sanitario

L’interlocuzione tra l’Agenzia Italiana del Farmaco e il Garante per la Protezione dei Dati Personali relativamente al trattamento dei dati sanitati nei progetti di farmacovigilanza è di fondamentale importanza per assicurare che tali attività siano collocate in un quadro giuridico definito e chiaro in tema di protezione dati personali, al fine di favorire lo svolgimento delle attività di sorveglianza post-marketing dei medicinali su scala nazionale.

Inoltre, è emersa la necessità di creare una rete di DPO, legali e di ricercatori coinvolti nella conduzione di sorveglianze post-marketing tramite utilizzo e ri-utilizzo di dati sanitari: (i) per creare un “linguaggio comune” anche con l’obiettivo di ridurre le distonie interpretative tra gli operatori del settore, (ii) attuare momenti di confronto tra gli stakeholder, (iii) promuovere attività formative in tema di data protection anche per i ricercatori, (iv) identificare le criticità principali e (v) proporre soluzioni condivise, (vi) avviare una interlocuzione con le istituzioni, in primis con il Garante per la Protezione dei Dati Personali, con il fine ultimo di definire un quadro chiaro che permetta una migliore tutela del paziente nelle due dimensioni sostanziali della tutela della salute e della protezione dei dati personali. La condivisione di expertise ed esperienze all’interno della rete può favorire ed agevolare la conduzione di progetti di ricerca scientifica e in particolare di quei progetti di sorveglianza post-marketing multi-regionali e regionali.

  1. Differenti tipologie di banche dati sanitarie per la conduzione di studi di farmacovigilanza e ricerca clinica: opportunità e criticità in ottica data protection

Durante la sessione sono state analizzate alcune specifiche tipologie di banche dati sanitarie il cui impiego sembra oggi imprescindibile nelle attività di farmacovigilanza e in più in generale nelle attività di ricerca scientifica di ambito sanitario.

In primo luogo, si è discusso del ri-utilizzo (anche definito come utilizzo secondario) dei flussi amministrativi su base regionale su cui si sono basati numerosi progetti multiregionali e regionali di farmacovigilanza, quali il progetto VALORE.

In generale, il ruolo delle Regioni, e segnatamente di Centri Regionali di Farmacovigilanza e Agenzie Regionali di Sanità, nel quadro di questa attività deve essere chiarito, in particolare per quanto concerne il ri-utilizzo dei dati amministrativi relativi agli assistiti dei corrispondenti territori regionali. Nello specifico, il coinvolgimento delle Regioni e il riutilizzo dei flussi amministrativi su base regionale nella sorveglianza post-marketing è motivato secondo gli operatori del settore da una serie di considerazioni, quali: a) interventi di minimizzazione del rischio di terapie farmacologiche vanno valutati su scala nazionale e/o regionale, se provvedimento è preso da AIFA o Regione, rispettivamente; b) utilizzare i dati Regionali (invece che quelli delle aziende sanitarie locali  - ASL) garantisce una completa copertura delle informazioni degli assistiti a livello regionale, accessibili più rapidamente (anche tenendo conto della mobilità tra le aziende sanitarie locali), aspetto fondamentale per un corretta valutazione del profilo beneficio-rischio dei farmaci nel mondo reale; c) motivazioni organizzative: il riutilizzo dei dati amministrativi regionali permette di ottimizzare i processi di elaborazione dati, dando la possibilità a chi coordina le reti di farmacovigilanza nazionali di interloquire con operatori di 21 Regioni/Province autonome, invece che con quelli di circa 250 aziende sanitarie locali ed ospedaliere; d) la numerosità di assistiti coinvolti nelle sorveglianze post-marketing tramite riutilizzo di dati a livello Regionale è di gran lunga superiore a quella di una o più aziende sanitarie locali/ospedaliere, elemento imprescindibile per la valutazione di reazioni avverse da farmaci che hanno una bassa frequenza o per l’analisi di rischio in sottopopolazioni per cui è fondamentale l’inclusione di campioni di elevate dimensioni.

A questo proposito si ricorda anche la modifica dell'articolo 2 sexies, contenuta nell’articolo 44 della legge "Conversione in legge del decreto-legge 2 marzo 2024, n. 19, recante ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)”, che sottolinea come “I dati personali relativi alla salute, pseudonimizzati, sono trattati, anche mediante interconnessione, dal (… ) relativamente ai propri assistiti, dalle regioni e dalle province autonome, nel rispetto delle finalità istituzionali di ciascuno, secondo le modalità individuate con decreto del Ministro della salute, adottato previo parere del Garante per la protezione dei dati personali.” La definizione del decreto del Ministero della salute menzionato da tale articolo potrebbe dunque essere la sede per chiarire compiutamente questo punto.

Altre fonti preziose per la ricerca scientifica in ambito sanitario sono i registri di patologia e i dati raccolti per i loro assistiti dai medici di medicina generale.

Come viene specificato nel Recital 157 del GDPR (https://www.privacy-regulation.eu/en/recital-157-GDPR.htm), i registri di patologia sono uno strumento utile e prezioso per l’ attività di ricerca, i dati personali contenuti nei registri possono essere trattati a fini di ricerca scientifica, nel rispetto delle condizioni e delle garanzie appropriate stabilite dal diritto dell'Unione o degli Stati membri. Importanza fondamentale ricopre il linkage tra le fonti dati, ad esempio tra registri e dati amministrativi, che permette di fornire dati di qualità capaci di rispondere a specifici quesiti clinici. Il linkage tra dati clinici ed amministrativi è stato espressamente richiesto ad esempio nelle tre reti nazionali relative rispettivamente a farmaci immunosoppressori nelle malattie croniche, malattie rare, e infezioni da COVID-19, finanziate attraverso bando AIFA relativo ai progetti nazionali di farmacovigilanza su Effectiveness e Safety nel Real-world – Fondi FV 2015-2015-2017.

Allo stesso modo, l'importanza dei dati raccolti dai medici di medicina generale per la ricerca in sanità pubblica è ampiamente dimostrata, soprattutto per studi di epidemiologia e farmacovigilanza. Tuttavia, l'ottenimento del consenso al trattamento dei dati personali da parte di tutti i pazienti rappresenta una sfida insormontabile. Ciò è dovuto all'alto numero di pazienti che ogni medico di medicina generale gestisce e alla natura sporadica delle visite, soprattutto tra i pazienti più giovani che tendono a recarsi raramente in ambulatorio. Questa difficoltà rende impraticabile raccogliere il consenso individuale da ciascun paziente, creando un ostacolo significativo per la raccolta di dati essenziali per la salute pubblica. Pertanto, è necessario un approccio diverso alla gestione di questi dati. In questo scenario, è opportuno inoltre considerare i ruoli di  titolare e responsabile del trattamento per la raccolta, conservazione e protezione dei dati, secondo la disciplina di settore. . 

Infine si è fatto riferimento ai dati presenti nei fascicoli sanitari elettronici (https://www.fascicolosanitario.gov.it/normativa-di-riferimento), manifestando l’auspicio che in prospettiva futura possano essere impiegati per svolgere attività di ricerca,  sempre garantendo un principio di uniformità nel trattamento, indipendentemente dalla regione di appartenenza dei diversi cittadini italiani cui i dati sono riferibili.

  1. Riflessioni sul ruolo dell’Italia nell’ambito della farmacovigilanza europea

Fuori dalla cornice nazionale, l’Italia fino al 2021 ha svolto un ruolo fondamentale nel supporto alle attività di farmacovigilanza a livello europeo e internazionale, ma va osservato come oggi il contributo italiano è limitato in termini di condivisione dati; ad esempio i dati amministrativi italiani al momento non contribuiscono al progetto promosso dall’European Medicine Agency “Data Analysis and Real Wold Interrogation Network” (Darwin EU - https://www.darwin-eu.org/) che promuove la creazione di una federazione di banche dati sanitarie a livello Europeo per supportare decisioni in ambito sanitario da parte dello stesso ente regolatore. Dalla sessione è emerso come l’Italia debba ritrovare centralità anche a livello internazionale per supportare le decisioni regolatorie e di sanità pubblica nel totale rispetto della normativa relativa al data protection. Peraltro, nell’Unione Europea si sta avvicinando l’adozione del Regolamento sullo Spazio Europeo dei Dati Sanitari, che presumibilmente condurrà alla realizzazione del “fascicolo sanitario elettronico europeo”, per finalità da un lato, cliniche, e, dall’altro, di ricerca e di sanità pubblica (https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_it), ed è importante che l’Italia giunga a questo appuntamento preparata. Sarebbe utile avviare una interlocuzione anche su questo punto.

Al di là degli aspetti inerenti al tema data protection, sarebbe infine auspicabile creare delle linee guida nazionali (sulla base delle recenti linee guida pubblicate dall’Agenzia Europea dei Medicinali ed altri enti regolatori internazionali) che forniscano indicazioni su quali fonti di Real World Data (RWD) siano utilizzabili in ambito regolatorio a livello Italiano per generare evidenze scientifiche dal mondo reale (RWE) e con quali specifiche finalità e metodologie consolidate in farmacoepidemiologia e farmacovigilanza.

Conclusioni

In considerazione del fatto che per molte attività di ricerca non è sufficiente l’utilizzo di dati anonimizzati (o aggregati), è necessario individuare le basi giuridiche che consentano il trattamento dei dati particolari dei pazienti precedentemente raccolti per finalità diverse. In particolare, è necessario pervenire ad una interpretazione sistematica dell’articolato quadro normativo che permetta di individuare i casi in cui per il trattamento dei dati sanitari non sia necessario procedere ad una nuova acquisizione del consenso dei pazienti, con l’adozione di quelle misure che consentano comunque la tutela dei diritti degli interessati.  L’esigenza di fondo è quella di conciliare l’attività di ricerca in sanità pubblica e di sorveglianza post-marketing dei medicinali con il diritto alla protezione dei dati dei pazienti, esigenza che potrà essere realizzata soltanto attraverso un confronto costruttivo tra i tutti i soggetti interessati e che veda al primo posto il coinvolgimento degli interlocutori istituzionali quali ad esempio il Ministero della Salute, l’Agenzia Italiana del Farmaco e il Garante per la Protezioni dei Dati Personali.

In quest’ottica non si può che esprimere viva soddisfazione per il recente intervento legislativo di modifica dell’art. 110, comma 1, del Codice Privacy e per i chiarimenti forniti dal Garante per la Protezione dei Dati Personali in ordine al quarto comma dell’art. 110 bis del Codice Privacy in materia di trattamento dei dati da parte degli IRCCS.

Le novità introdotte dal legislatore e i chiarimenti interpretativi resi dal Garante consentono oggi di aprire una nuova prospettiva che permetta l’impiego dei dati sanitari nelle attività di ricerca con un approccio effettivo e compatibile con le reali esigenze delle finalità perseguite.

Oggi più che mai è di fondamentale importanza dare seguito e concretizzare le riflessioni proposte durante il Simposio e strutturare una rete professionale multidisciplinare che metta insieme tutte le diverse sensibilità (legali, tecniche e scientifiche) che veda la partecipazione dei DPO, dei legali e dei ricercatori di Aziende Sanitarie, Università, ISS e centri Regionali di Sanità, IRCCS pubblici e privati e di tutti gli altri soggetti eventualmente interessati.

 

A cura di:

Gianluca Trifirò, Andrea Spini ed Ylenia Ingrasciotta - Università di Verona

Luigi Montuori – Dipartimento Sanità e Ricerca– Garante per la Protezione dei Dati Personali

Rosa Gini – Agenzia Regionale della Sanità Toscana

Giampiero Mazzaglia – Università di Milano Bicocca

Luigi Recupero ed Eliana Ferroni – Azienda Zero della Regione Veneto

Angelo Loiacono e Francesco Montalbano – Ospedale Pediatrico Bambino Gesù

Sebastiano Walter Pollina Addario - Dipartimento per le Attività Sanitarie e Osservatorio Epidemiologico, Regione Sicilia

Mauro Racaniello - Farmindustria

 

In conformità con le disposizioni della nostra Policy sui cookie, utilizziamo cookie sia tecnici/necessari che analitici, che ci aiutano ad approfondire e valutare la tua esperienza di navigazione. Per maggiori informazioni clicca qui.