Privacy e farmacovigilanza: cosa cambia con il nuovo regolamento UE

L’imminente scadenza del 25 maggio 2018, data in cui il nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali [di seguito GDPR] troverà piena e definitiva applicabilità, è l’occasione per interrogarsi circa la necessità o meno di rivedere le informative privacy in ambito sanitario anche con riferimento ad aspetti – sino a questo momento trascurati – di farmacovigilanza.

In particolar modo, con questo contributo ci si vuole soffermare sugli obblighi informativi in materia di protezione dei dati personali, collegati ai casi in cui medici, farmacisti ed operatori sanitari tutti riscontrino, nell’esercizio della loro attività, che un farmaco già immesso in commercio [e dunque nella fase c.d. post-autorizzazione] abbia determinato in un dato paziente sospette reazioni avverse [c.d. ADR, adverse drug reactions].

Se infatti si guardano le informative di medici di base, ambulatori, strutture sanitarie pubbliche e private, farmacie e via discorrendo, difficilmente si potranno riscontare riferimenti specifici al trattamento dei dati dei pazienti effettuato nell’ambito delle segnalazioni obbligatorie di farmacovigilanza. Ciò, sia per quanto riguarda le parti dell’informativa dedicate alle finalità e alle modalità del trattamento dei dati personali dei pazienti, sia nelle parti relative alla possibile comunicazione dei dati medesimi ad altri soggetti, enti ed organizzazioni, in Italia e all’estero.

La ragione di queste lacune è con ogni evidenza da ricondurre a un duplice ordine di fattori, che ha condizionato l’interpretazione della normativa da parte di medici ed operatori di settore: da un lato, l’attuale [ma in via di abrogazione] Codice privacy ([.Lgs. 30 giugno 2003, n. 196] prevede agli artt. 77 e seguenti la possibilità di informative semplificate in ambito sanitario; dall’altro lato, il mondo medico si è per lungo tempo basato, e in molti casi “appiattito”, sull’ormai risalente modello semplificato di informativa predisposto, per medici e pediatri, dal Garante italiano per la protezione dei dati personali, allegato al provvedimento di quest’ultimo datato 19 luglio 2006.

Ora che il Codice privacy [stando alle dichiarazioni ufficiali governative] è in via di abrogazione e in attesa di conoscere i contenuti effettivi della normativa di adeguamento che verrà emanata, occorre necessariamente prendere come punto di riferimento le prescrizioni contenute nel GDPR, provvedendo dunque ad aggiornare e, se del caso, integrare le informative sinora utilizzate, tenendo altresì in considerazione le considerazioni che seguono anche con riferimento agli obblighi connessi al nuovo registro dei trattamenti.

Giova quindi ricordare che, ai sensi e per gli effetti dell’art. 22 del Decreto del Ministero della Salute del 30 aprile 2015, i medici e tutti gli altri operatori sanitari [farmacisti compresi, ai sensi dell’art. 132, comma secondo, D.Lgs. 24 aprile 2006, n. 219] hanno l’obbligo di segnalare tutte le sospette ADR “tempestivamente, e comunque entro 2 giorni” dal momento in cui ne vengono a conoscenza; termine che si riduce a “36 ore” allorquando il medicinale che si sospetta aver cagionato la reazione avversa sia di origine biologica.

L’attuale sistema di segnalazione prevede la compilazione di moduli standard reperibili sul sito di AIFA [Agenzia Italiana del Farmaco], da inoltrarsi in prima battuta al proprio Responsabile di farmacovigilanza, oppure attraverso il sito VigiFarmaco.it.

Senza voler qui, per ovvie ragioni, soffermarsi su tutti gli aspetti legati alla farmacovigilanza, appare opportuno richiamare la definizione di “reazione avversa” fornita dal sopraccitato Decreto ministeriale del 2015: ai sensi dell’art. 1, comma secondo, lettera a), deve intendersi per reazione avversa qualsiasi reazione nociva e non voluta conseguente non solo all’uso autorizzato di un medicinale alle normali condizioni di impiego ma anche agli errori terapeutici e agli usi non conformi alle indicazioni contenute nell’autorizzazione all’immissione in commercio, incluso l’uso improprio e l’abuso del medicinale. In tutti questi casi sarà poi necessario valutare la sussistenza di un ragionevole sospetto circa il nesso di causalità tra l’assunzione del farmaco e l’evento segnalato; fattori, questi ultimi, che devono essere tra loro collegati anche da una chiara relazione temporale.

Il funzionamento generale del sistema di farmacovigilanza si basa sul trattamento di dati personali, specie [ovviamente] di carattere sanitario, i quali ultimi rientrano tra quei “dati particolari” a cui il GDPR riconosce maggiori tutele. In particolare, nei moduli di segnalazione delle ADR è previsto che il paziente rimanga identificabile attraverso diverse informazioni, tra cui le iniziali del nome e del cognome, la data di nascita o l’età, il sesso, l’origine etnica, il peso e le informazioni cliniche rilevanti nel singolo caso concreto.

La possibilità di risalire all’identità del paziente, anche per ovvi scopi di successiva e più approfondita indagine circa la reazione avversa riscontrata, esclude la possibilità di ritenere “anonimizzati” i dati comunicati. Ciò comporta senza ombra di dubbio l’applicabilità delle disposizioni contenute nel GDPR anche con riferimento alle suddette segnalazioni. Invero, va evidenziato che il mero fatto di non riportare per intero il nome e cognome del paziente non esclude la possibilità di risalire all’identità di quest’ultimo. Per usare il linguaggio del GDPR, si parla in questi casi di “pseudonimizzazione“, ovverosia [come precisato dal GDPR medesimo all’art. 4, num. 5] il trattamento dei dati è effettuato in modo tale che i dati stessi non possano essere attribuiti a un paziente specifico senza l’utilizzo di informazioni aggiuntive, conservate separatamente: nel caso qui in esame, infatti, per il tramite del segnalatore e delle informazioni che rimangono in suo possesso si resta nella possibilità di identificare lo specifico paziente in cui la reazione avversa è stata riscontrata.

Altro fattore da tenere necessariamente in considerazione, nell’aggiornamento e nell’integrazione delle informative privacy in uso, è il fatto che i dati contenuti nelle segnalazioni di ADR sono destinati ad essere inseriti nella Rete Nazionale di Farmacovigilanza e, dunque, ad essere comunicati a diversi soggetti, sia pubblici che privati, sia in Italia che all’estero.

Giova sul punto precisare che il medico o altro operatore sanitario, una volta raccolta la segnalazione, la trasmette [a seconda dei casi] al Responsabile di farmacovigilanza della propria struttura di appartenenza oppure al Responsabile di farmacovigilanza della ASL/ATS competente per territorio; il Responsabile di farmacovigilanza, a sua volta, entro sette giorni inserisce la segnalazione nella banca dati della Rete Nazionale di Farmacovigilanza; da qui, le segnalazioni vengono trasmesse automaticamente alle aziende farmaceutiche titolari delle autorizzazioni all’immissioni in commercio [AIC] e alle Regioni; successivamente, le segnalazioni vengono altresì inoltrate al database europeo di EudraVigilance [European Union Drug Regulating Authorities Pharmacovigilance], gestito dall’Agenzia Europea dei Medicinali [EMA] e a cui hanno accesso tutte le Autorità regolatorie europee speculari ad AIFA, nonché al database dell’Uppsala Monitoring Centre dell’Organizzazione Mondiale della Sanità.

Inoltre, ai dati raccolti dalla Rete Nazionale di Farmacovigilanza e da EudraVigilance può avere accesso anche ciascun utente della rete internet attraverso siti web dedicati, senza tuttavia – per ovvie ragioni – poter egli visionare gli elementi che rendono indirettamente identificabili i pazienti [si può in tal caso parlare a tutti gli effetti di “anonimizzazione” del dato prima della sua diffusione].

Quanto poi alla necessità di indicare altresì, nell’informativa, la base giuridica che legittima il trattamento legato alle finalità di farmacovigilanza, può sorgere il dubbio se sia necessario ottenere uno specifico consenso da parte del paziente. Tale quesito deve necessariamente trovare risposta negativa: non solo il consenso non è necessario, ma richiederlo sarebbe addirittura errato oltre a rappresentare una pratica del tutto scorretta verso il paziente.

È opportuno qui ricordare che, come anche evidenziato dal Gruppo di lavoro ex articolo 29 – ovverosia [in estrema sintes] l’organismo consultivo composto dai Garanti europei per la protezione dei dati personali -, far credere all’interessato che il trattamento dei suoi dati personali avverrà in ragione del consenso prestato, quando invece vi sono altre basi giuridiche che lo giustificano, è fondamentalmente “unfair” [cfr. WP29, Guidelines on Consent under Regulation 2016/679].

Nel caso delle segnalazioni di farmacovigilanza, oltre a sussistere – come visto – specifici obblighi di legge in capo al medico e all’operatore sanitario in generale che rendono evidentemente lecito il trattamento, occorre considerare che la salvaguardia della salute pubblica [a cui è indubbiamente e dichiaratamente finalizzato l’intero sistema di farmacovigilanza] costituisce un interesse pubblico sostanziale.

Inoltre, l’art. 9, comma secondo, lett. i) del GDPR espressamente prevede la possibilità di trattare i dati di carattere sanitario laddove il trattamento sia “necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali […] la garanzia di parametri elevati di qualità e sicurezza […] dei medicinali“.

Se, dunque – come appurato – debbono applicarsi le norme contenute nel GDPR, non può escludersi che anche l’informativa in materia di trattamento dei dati personali del paziente debba necessariamente riportare chiare indicazioni circa [anche] la finalità di farmacovigilanza.

Gli articoli 13 e 14 del GDPR, infatti, prescrivono che nell’informativa siano indicate tutte le finalità di trattamento cui sono destinati i dati personali. Tale informazione dovrà necessariamente essere poi corredata dall’indicazione dei destinatari dei dati personali nell’ambito della farmacovigilanza [in Italia e all’estero], nonché da quella relativa alla base giuridica che rende lecito il trattamento. Non dovrà, invece, richiedersi al paziente uno specifico consenso al trattamento dei suoi dati, anche sanitari, prima di effettuare la segnalazione di reazione avversa.

Il tempo dell’under-reporting [soprattutto in tema di reazioni avverse ai vaccini] sta per terminare!

 

Riproduzione riservata ©

Annunci