Sanità

mag152018

Gdpr e farmacovigilanza, tutelare dati in segnalazione di reazioni avverse

Gdpr e farmacovigilanza, tutelare dati in segnalazione di reazioni avverse
Con l'entrata in vigore, il 25 maggio 2018, del Gdpr il nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali è opportuno interrogarsi circa la necessità o meno di rivedere le informative sulla privacy nelle procedure di farmacovigilanza. In particolare, sugli obblighi informativi in materia di protezione dei dati personali quando medici, farmacisti ed operatori sanitari riscontrano in un dato paziente sospette reazioni avverse a un farmaco in commercio (Adr, adverse drug reactions). A fare il punto sono Monica Gobbato avvocato e data protecion officer e Marco Mambrini consulente legale, data protection specialist, in un'analisi della normativa e delle modifiche cui andrà incontro, pubblicata dal quotidiano Doctor33.

Secondo i due esperti nelle «informative di medici di base, ambulatori, strutture sanitarie pubbliche e private, farmacie e via discorrendo, difficilmente si potranno riscontare riferimenti specifici al trattamento dei dati dei pazienti effettuato nell'ambito delle segnalazioni obbligatorie di farmacovigilanza». Sia per quanto riguarda le parti dell'informativa dedicate a finalità e modalità del trattamento dei dati personali dei pazienti, sia nelle parti relative alla possibile comunicazione ad altri soggetti, enti ed organizzazioni, in Italia e all'estero. La ragione, spiegano, «è con ogni evidenza da ricondurre a un duplice ordine di fattori, che ha condizionato l'interpretazione della normativa da parte di medici ed operatori di settore». Da un lato l'attuale Codice privacy, in via di abrogazione, che «prevede la possibilità di informative semplificate in ambito sanitario». Dall'altra, «il mondo medico si è per lungo tempo basato, e in molti casi "appiattito", sull'ormai risalente modello semplificato di informativa predisposto, per medici e pediatri, dal Garante italiano per la protezione dei dati personali, allegato al provvedimento di quest'ultimo datato 19 luglio 2006». Ma ora occorre «necessariamente prendere come punto di riferimento le prescrizioni contenute nel Gdpr, provvedendo dunque ad aggiornare e, se del caso, integrare le informative sinora utilizzate, tenendo altresì in considerazione le considerazioni che seguono anche con riferimento agli obblighi connessi al nuovo registro dei trattamenti».

I due esperti ricordano che secondo l'art. 22 del Decreto del Ministero della Salute del 30 aprile 2015, medici, farmacisti e operatori sanitari hanno «l'obbligo di segnalare tutte le sospette Adr "tempestivamente, e comunque entro 2 giorni" dal momento in cui ne vengono a conoscenza; termine che si riduce a "36 ore" allorquando il medicinale che si sospetta aver cagionato la reazione avversa sia di origine biologica».

L'attuale sistema di segnalazione prevede la compilazione di moduli standard reperibili sul sito dell'Agenzia italiana del farmaco da inoltrarsi in prima battuta al proprio Responsabile di farmacovigilanza, oppure attraverso il sito VigiFarmaco.it. Il funzionamento generale del sistema di farmacovigilanza, spiegano i due legali, «si basa sul trattamento di dati personali, specie (ovviamente) di carattere sanitario, i quali ultimi rientrano tra quei "dati particolari" a cui il Gdpr riconosce maggiori tutele. In particolare, nei moduli di segnalazione delle Adr è previsto che il paziente rimanga identificabile attraverso diverse informazioni, tra cui le iniziali del nome e del cognome, la data di nascita o l'età, il sesso, l'origine etnica, il peso e le informazioni cliniche rilevanti nel singolo caso concreto. La possibilità di risalire all'identità del paziente, anche per ovvi scopi di successiva e più approfondita indagine circa la reazione avversa riscontrata, esclude la possibilità di ritenere "anonimizzati" i dati comunicati. Ciò comporta senza ombra di dubbio l'applicabilità delle disposizioni contenute nel Gdpr anche con riferimento alle suddette segnalazioni. Invero, va evidenziato che il mero fatto di non riportare per intero il nome e cognome del paziente non esclude la possibilità di risalire all'identità di quest'ultimo. Per usare il linguaggio del Gdpr, si parla in questi casi di "pseudonimizzazione", ovverosia (come precisato dal Gdpr) il trattamento dei dati è effettuato in modo tale che i dati stessi non possano essere attribuiti a un paziente specifico senza l'utilizzo di informazioni aggiuntive, conservate separatamente: nel caso qui in esame, infatti, per il tramite del segnalatore e delle informazioni che rimangono in suo possesso si resta nella possibilità di identificare lo specifico paziente in cui la reazione avversa è stata riscontrata».

Un altro fattore, «da tenere necessariamente in considerazione» nell'aggiornamento e nell'integrazione delle informative privacy in uso è che «i dati contenuti nelle segnalazioni di Adr sono destinati ad essere inseriti nella Rete Nazionale di Farmacovigilanza e, dunque, ad essere comunicati a diversi soggetti, sia pubblici che privati, sia in Italia che all'estero». Nell'analisi si precisa che quando l'operatore raccoglie la segnalazione e la trasmette, si attiva una serie di passaggi per rendere i dati disponibili per aziende titolari di Aic, Regioni, utenti internet attraverso siti web dedicati, nel database EudraVigilance gestito dall'Ema cui accedono i regolatori europei, nel database dell'Uppsala Monitoring Centre dell'Organizzazione Mondiale della Sanità, senza tuttavia consentire «per ovvie ragioni, di poter visionare gli elementi che rendono indirettamente identificabili i pazienti: si può in tal caso parlare a tutti gli effetti di "anonimizzazione" del dato prima della sua diffusione».

Può sorgere il dubbio, secondo i due esperti, se sia necessario «ottenere uno specifico consenso da parte del paziente. Tale quesito deve necessariamente trovare risposta negativa: non solo il consenso non è necessario, ma richiederlo sarebbe addirittura errato oltre a rappresentare una pratica del tutto scorretta verso il paziente. È opportuno qui ricordare che far credere all'interessato che il trattamento dei suoi dati personali avverrà in ragione del consenso prestato, quando invece vi sono altre basi giuridiche che lo giustificano, è fondamentalmente "unfair"». Va anche ricordato, nel caso delle segnalazioni di farmacovigilanza, che «la salvaguardia della salute pubblica, a cui è indubbiamente e dichiaratamente finalizzato l'intero sistema di farmacovigilanza, costituisce un interesse pubblico sostanziale» e nel Gdpr (art. 9, comma secondo, lett. i) è prevista «la possibilità di trattare i dati di carattere sanitario laddove il trattamento sia "necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali [...] la garanzia di parametri elevati di qualità e sicurezza [...] dei medicinali"».

In conclusione, dovendo applicare le norme contenute nel Gdpr, «non si può escludere che anche l'informativa in materia di trattamento dei dati personali del paziente debba necessariamente riportare chiare indicazioni circa (anche) la finalità di farmacovigilanza. Gli articoli 13 e 14 del Gdpr, infatti, prescrivono che nell'informativa siano indicate tutte le finalità di trattamento cui sono destinati i dati personali. Tale informazione dovrà necessariamente essere poi corredata dall'indicazione dei destinatari dei dati personali nell'ambito della farmacovigilanza (in Italia e all'estero), nonché da quella relativa alla base giuridica che rende lecito il trattamento. Non dovrà, invece, richiedersi al paziente uno specifico consenso al trattamento dei suoi dati, anche sanitari, prima di effettuare la segnalazione di reazione avversa».
discuti sul forum

ANNUNCI SPONSORIZZATI


Download Center

Principi e Pratica Clinica
Nicoloso B. R. - Le responsabilità del farmacista nel sistema farmacia
vai al download >>
separa
Principi e Pratica Clinica
Garattini S., Bertelè V. Farmaci sicuri
vai al download >>

SUL BANCO