Contesto Operativo

Come specificato, ai fini della protezione dei dati personali, per tutti i progetti di ricerca sono necessari i seguenti adempimenti:

1. La Valutazione d’impatto (DPIA)

In relazione all’obbligo di predisposizione della Valutazione d’Impatto sulla Protezione dei Dati (art. 35 RGPD), l’Azienda Ospedaliero-Universitaria di Ferrara e l’AUSL di Ferrara, al fine di semplificare e standardizzare le attività connesse alla ricerca scientifica, hanno predisposto tre distinte Valutazioni d’Impatto sulla Protezione dei Dati (DPIA), applicabili in via generale ai trattamenti effettuati nell’ambito della ricerca.

In particolare:

DPIA per il trattamento di dati sanitari nell’ambito della ricerca scientifica
Riguarda i trattamenti aventi ad oggetto dati relativi alla salute degli interessati (es. dati clinici, diagnostici, terapeutici, referti, informazioni contenute nella documentazione sanitaria), trattati per finalità di ricerca scientifica.

DPIA per il trattamento di dati genetici nell’ambito della ricerca scientifica
Si applica ai trattamenti che comportano l’utilizzo di dati genetici, con particolare attenzione ai rischi connessi all’elevato grado di identificabilità e alla natura particolarmente sensibile di tali informazioni.

DPIA per trattamenti basati su nuove tecnologie nell’ambito della ricerca scientifica
Riguarda i trattamenti che implicano l’impiego di soluzioni tecnologiche innovative (es. sistemi di analisi avanzata dei dati, strumenti digitali di raccolta e gestione delle informazioni, piattaforme informatiche evolute), caratterizzati da potenziali rischi specifici derivanti dall’utilizzo di tecnologie emergenti.

Tali Valutazioni d’Impatto, pur avendo carattere generale e trasversale rispetto ai singoli protocolli di studio, risultano applicabili all’intera attività di ricerca svolta dalle Aziende. Esse contengono una dettagliata analisi dei rischi per i diritti e le libertà degli interessati, individuano le misure tecniche e organizzative adottate per mitigarli e definiscono le modalità di riesame periodico.

Le Valutazioni d’Impatto sono oggetto di revisione annuale e sono consultabili tramite i relativi link dedicati.

Le DPIA sono oggetto di revisione annuale e sono consultabili qui:

- DPIA per il trattamento di dati sanitari nell’ambito della ricerca scientifica

- DPIA per il trattamento di dati genetici nell’ambito della ricerca scientifica

- DPIA per trattamenti basati su nuove tecnologie nell’ambito della ricerca scientifica

2. Il Data Confidentiality e Security Plan (DCSP)

Il ricercatore è tenuto a compilare il documento Data Confidentiality and Security Plan (DCSP), disponibile al seguente link (link), e a conservarne l’originale unitamente ai documenti dello studio.

Il DCSP fornisce una descrizione completa del progetto o dello studio sotto il profilo della protezione dei dati personali, traducendo in termini operativi i principi generali contenuti nelle DPIA. Mentre le DPIA hanno carattere generale e offrono un quadro dei rischi e delle misure di mitigazione applicabili a più studi, il DCSP si riferisce al progetto specifico e specifica come ciascun trattamento sarà effettivamente realizzato, chi ne sarà responsabile, quali dati saranno trattati, come saranno conservati e protetti e come saranno gestiti eventuali campioni biologici.

In questo modo, il DCSP integra le DPIA, rendendo operative le valutazioni di rischio generali e adattandole alle esigenze concrete del protocollo, assicurando così conformità normativa in ogni fase dello studio.

Il documento deve essere:

- trasmesso dal Ricercatore all’Ufficio Ricerca di riferimento (per i centri sperimentali AUSL Ferrara) all’indirizzo e-mail dedicato;

- conservato dal Ricercatore nell’Investigator Master File presso il centro sperimentale.

3. L’informativa, il modulo di consenso e l’eventuale esimente

Per ciascuno studio, ai fini della sottoposizione del protocollo al Comitato Etico, è necessario predisporre un’adeguata informativa sul trattamento dei dati personali e il relativo modulo di consenso.

I fac-simile sono disponibili alla pagina del Comitato Etico: https://www.aosp.bo.it/it/content/modulistica.

Nel caso di studi retrospettivi in cui non sia possibile informare gli interessati né acquisire il loro consenso al trattamento dei dati personali, occorre compilare il Modello di dichiarazione sostitutiva di consenso informato, anch’esso reperibile alla medesima pagina. In tali ipotesi è inoltre necessario procedere alla pubblicazione dell’informativa sul trattamento dei dati personali.

4. Il parere del Comitato Etico

Ai fini dell’acquisizione del parere del Comitato Etico, è necessario trasmettere la seguente documentazione in materia di protezione dei dati personali:

- il modulo di consenso, personalizzato in relazione alle specificità dello studio;

- l’informativa sul trattamento dei dati;

- l’eventuale modello di dichiarazione sostitutiva di consenso informato.

5. Il nulla osta del Direttore Generale

L’avvio dello studio è subordinato al rilascio del Nulla osta da parte del Direttore Generale della struttura sanitaria presso cui viene condotta l’attività, ai sensi dell’art. 7 della Legge Regionale Emilia-Romagna n. 9/2017, al fine di garantire l’assenza di pregiudizi per l’attività assistenziale.

6. Il Data Transfer Agreement (DTA) e il Material Transfer Agreement (MTA)

Il Data Transfer Agreement (DTA) e il Material Transfer Agreement (MTA) sono accordi che disciplinano, rispettivamente, il trasferimento di dati personali e il trasferimento di materiali (ad es. materiale biologico, componenti chimici, ecc.) tra due o più parti.

Il DTA definisce le clausole necessarie affinché il trasferimento di dati personali, anche appartenenti a categorie particolari, avvenga in piena conformità alla normativa in materia di protezione dei dati.

L’MTA disciplina invece i termini di utilizzo dei materiali trasferiti, i diritti di proprietà, gli obblighi di riservatezza e le responsabilità delle parti, garantendo la conformità normativa e la tutela degli interessi coinvolti.

Attualmente non è previsto un template aziendale standard per tali accordi. Pertanto, essi vengono redatti caso per caso, adattandoli al contesto specifico con il supporto dell’Ufficio Ricerca e delle eventuali altre strutture coinvolte.

7. Ruolo dei centri nel trattamento dei dati.

Con riferimento al ruolo dei centri partecipanti a uno studio, alla luce delle prescrizioni dell’Autorità Garante per la protezione dei dati personali, si chiarisce che gli studi possono essere condotti in regime di autonoma titolarità del trattamento.

Tale configurazione è, in linea generale, preferibile rispetto alle altre forme previste dalla normativa (responsabile del trattamento o contitolarità).

Per ulteriori chiarimenti è possibile contattare l'U.O.C, Ricerca e Sviluppo Organizzativo