La tua ricerca

    05.02.2020

    I confini della profilazione al tempo della 4P Medicine


    I nuovi strumenti tecnologici come app e Digital Therapeutics pongono questioni ineludibili circa la raccolta di dati sensibili provenienti dai pazienti. Tutti i possibili scenari suggeriscono maggiore attenzione da parte delle industrie life sciences

    L'industria farmaceutica e medicale sta attraversando un significativo periodo di digitalizzazione. In questo contesto, l'individuo diventa ogni giorno più attivo - empowered - nella gestione della propria salute, attraverso la raccolta di informazioni in rete, la partecipazione a forum dedicati, l'utilizzo di dispositivi indossabili (cd. wearable device) e app tramite i quali lo stesso condivide moltissime informazioni con il proprio medico e con il web.

    Questo processo, con la conseguente disponibilità e accessibilità crescente di dati sanitari (sempre più precisi e accurati) relativi ai pazienti, ha portato a sua volta allo sviluppo di una nuova concezione della medicina, la cosiddetta P4 medicine, che racchiude nella sua definizione tutte le implicazioni e i vantaggi di questo nuovo approccio. La medicina, quindi, è sempre più "personalizzata" (ovvero basata sui dati clinici, genetici, microbiomici e ambientali della singola persona), "predittiva" (fondandosi sull'uso di strumenti diagnostici che elaborano previsioni su fattori di rischio), "preventiva" (incentrata sulla prevenzione della malattia prima che si verifichi o progredisca), e "partecipativa" (favorendo l'acquisizione di informazioni da parte della persona e l'adozione di scelte consapevoli).

    Nel corso degli ultimi anni, quindi, grazie allo sviluppo di nuovi strumenti - come i digital therapeutics ("terapie digitali"), software che coadiuvano o addirittura sostituiscono le terapie tradizionali, basati su algoritmi intelligenti capaci di influenzare il percorso di decisione clinica - è stato possibile intervenire prima della diagnosi della malattia e personalizzare le cure ottenendo esiti terapeutici più soddisfacenti, spostando quanto più possibile la fruizione dei servizi sanitari dalle strutture ospedaliere al domicilio di ciascun individuo. Tramite tali sistemi, inoltre, le imprese farmaceutiche sono venute a conoscenza di diverse informazioni relative ai pazienti, le quali sarebbero diversamente inaccessibili.

    In tale scenario, i dati personali, la loro sicurezza e il loro corretto utilizzo rivestono un ruolo di fondamentale importanza. Tuttavia, la tendenza è quella di percepire la tutela dei dati personali come una barriera significativa per lo sviluppo degli strumenti sopra menzionati i quali, pur presentando significativi vantaggi per gli individui, sono caratterizzati dai rischi connessi alla forte pervasività della raccolta delle informazioni e alla tracciabilità dei dati relativi alla salute degli individui. Pertanto, al fine di contenere tali rischi, occorre definire e comprendere il quadro normativo di riferimento e affrontare le principali implicazioni giuridiche in materia di dati personali, in modo tale da controllare, disciplinare e favorire l'utilizzo dei dati, anche al fine di ottenere risultati sempre più promettenti circa l'efficacia dei nuovi strumenti digitali.

     

    Il Quadro Normativo

    Con riferimento ai profili regolatori, solo le terapie digitali sono state oggetto di specifica regolamentazione.

    In data 5 aprile 2017, più precisamente, è stato emanato il Regolamento (Ue) 745/2017 relativo ai dispositivi medici, che si applicherà a decorrere dal 26 maggio 2020. Il Regolamento abrogherà la direttiva 90/385/ Cee relativa ai dispositivi medici impiantabili attivi e la direttiva 93/42/ Cee concernente i dispositivi medici, rispettivamente attuate, in Italia, dal dlgs 50/92 e dal dlgs 46/97.

    Il Regolamento - che riprende la definizione di "dispositivo medico" di cui alla direttiva 93/42/Ce, come modificata dalla direttiva 2007/42/Ce - sarà applicabile, nello specifico, a qualunque strumento, apparecchio, software, materiale destinato dal fabbricante a essere impiegato per finalità diagnostiche o terapeutiche. Con il considerando 19, il Regolamento chiarisce che il software non destinato a essere impiegato per una o più delle destinazioni d'uso mediche indicate nella definizione di dispositivo medico, ma destinato a finalità generali o per fini associati allo stile di vita e al benessere non è un dispositivo medico.

    Ciò premesso, secondo l'attuale normativa, i dispositivi possono essere immessi in commercio o messi in servizio unicamente se sono rispettati i requisiti di cui al dlgs 46/97, compresi i "requisiti essenziali" di sicurezza e di efficacia che sia i dispositivi sia il loro sistema di produzione devono possedere.

    Ai fini della marcatura Ce e dell'immissione dei dispositivi medici in commercio, poi, il fabbricante dovrà ottenere - a seconda della classe di appartenenza del dispositivo stabilita dalla medesima normativa - la documentazione attestante la valutazione di conformità, che per alcune classi può richiedere l'intervento di un Organismo notificato. Il Regolamento ha innovato fortemente tale disciplina, modificando in modo sostanziale alcuni elementi chiave, quali la supervisione degli Organismi notificati, le procedure di valutazione della conformità, le indagini e la valutazione clinica, la vigilanza e la sorveglianza del mercato; sono state introdotte, inoltre, disposizioni a garanzia della trasparenza e della tracciabilità dei dispositivi medici, nonché l'istituzione di una banca dati europea dei dispositivi medici.

    Con riferimento alla normativa in materia di dati personali, invece, occorre far riferimento al Regolamento (Ue) 2016/679 ("Gdpr"), al dlgs 196/2003 ("Codice privacy") come modificato dal dlgs 101/2018 ("Decreto di Adeguamento" o "Decreto"), nonché ai provvedimenti del Garante per la protezione dei dati personali ("Garante"), tra cui, in particolare, il provvedimento 55/2019 "Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario".

    Nello specifico, il trattamento dei dati relativi alla salute - riconducibili alle "categorie particolari" di dati - è consentito in base ad alcune condizioni di liceità individuate dall'articolo 9 del Gdpr, che costituiscono specifiche deroghe al divieto generale di trattamento applicabile a dette categorie. Tra queste, in particolare, rilevano le finalità di medicina, diagnosi, assistenza o terapia sanitaria sotto la responsabilità di un professionista della sanità, e il consenso esplicito dell'interessato, che consiste in una forma di consenso "rafforzato" (reso, per esempio, tramite firma autografa, invio della firma scansionata, o meccanismi di double consent, ovvero la validazione della propria volontà tramite click del link inviato all'interessato mediante e-mail o sms).

    Inoltre, in Italia, ai fini del legittimo trattamento di tali dati, occorre altresì rispettare le regole deontologiche e le misure di garanzia, rispettivamente previste dagli articoli 2-quater e 2-septies del Codice privacy, che, tuttavia, non sono ancora state adottate da parte del Garante.

    Alla luce di ciò, occorre interrogarsi sull'applicabilità dell'autorizzazione generale numero 2/2016 sul trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale.

    Come noto, prima del Gdpr, tali categorie di dati potevano essere trattate solo su autorizzazione, generale o specifica, del Garante. A seguito dell'entrata in vigore del Gdpr, il decreto di adeguamento ha demandato al Garante il compito di individuare le prescrizioni contenute nelle autorizzazioni generali che risultassero compatibili con le disposizioni del Gdpr e del medesimo decreto.

    L'autorizzazione generale numero 2/2016 però non risulta essere tra quelle prese in esame con il provvedimento numero 497/2018 "Provvedimento che individua le prescrizioni contenute nelle autorizzazioni generali numero 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il dlgs 101/2018 di adeguamento del Codice". Tuttavia, si ritiene che la stessa autorizzazione sia ancora applicabile, sia pure in via transitoria, alla luce dell'articolo 21, comma 4, del Decreto, il quale stabilisce che "sino all'adozione delle regole deontologiche e delle misure di garanzia [...] producono effetti le autorizzazioni generali sottoposte a verifica e ritenute incompatibili con le disposizioni del Gdpr". Se il Decreto, infatti, intende mantenere vigenti su base transitoria quelle autorizzazioni già sottoposte a verifica e ritenute incompatibili, deve ritenersi che la volontà del legislatore sia di mantenere vigenti anche quelle non ancora sottoposte a verifica e quindi non ancora ritenute né compatibili né incompatibili. In questo scenario, il primo tema da affrontare concerne la liceità del trattamento dei dati relativi alla salute di un individuo, considerato l'apparente ostacolo del divieto stabilito dall'articolo 9 del Gdpr.

    Come anche chiarito dal provvedimento n. 55/2019, i trattamenti per "finalità di cura" effettuati da, o sotto la responsabilità di, un professionista sanitario soggetto a segreto professionale - di cui all'articolo 9, paragrafo 2, lettera h) e paragrafo 3 del Gdpr - non richiedono il consenso del paziente se sono necessari alla prestazione sanitaria.

    Il provvedimento n. 55/2019 specifica che, diversamente, i trattamenti attinenti alla cura solo in senso lato, ma non strettamente necessari alla stessa, richiedono, anche se effettuati da professionisti della sanità, una distinta base giuridica, da individuarsi nel consenso esplicito dell'interessato o in altro presupposto di liceità. Tra questi trattamenti che richiedono il consenso dell'interessato, il Garante ha identificato, in particolare: i trattamenti connessi all'utilizzo di app mediche per finalità diverse dalla telemedicina e quelli che consentono l'accesso ai dati a soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale.

    Occorre fare riferimento, altresì, alle prescrizioni di cui all'autorizzazione generale n. 2/2016, che autorizzano le imprese farmaceutiche al trattamento dei dati idonei a rivelare lo stato di salute, previo consenso esplicito dell'interessato "limitatamente ai dati [...] e alle operazioni indispensabili per adempiere agli obblighi, anche precontrattuali, derivanti da un rapporto di fornitura all'interessato di beni, prestazioni e servizi".

    Il secondo tema che si ritiene utile affrontare in questa sede concerne la definizione dei ruoli dei soggetti coinvolti nello sviluppo e utilizzo delle applicazioni tecnologiche sanitarie e medicali (come le imprese farmaceutiche, gli sviluppatori del software, gli operatori sanitari). Difatti, dalla qualificazione di ognuno come titolare (il soggetto che determina le finalità e i mezzi del trattamento), responsabile (il soggetto che tratta i dati per conto del titolare) o contitolare del trattamento (il titolare che determina congiuntamente le finalità e i mezzi con altro titolare) discendono i diversi adempimenti e connessi profili di responsabilità che la normativa pone a carico di ciascuna figura.

    Muovendo dalle definizioni previste dall'articolo 4 del Gdpr, nonché, in particolare, dagli approfondimenti contenuti nell'Opinion n. 1/2010 del Working Party Article 29, e considerando il caso di un'impresa farmaceutica che sviluppi, direttamente o tramite uno sviluppatore terzo, un'app (o piattaforma) di supporto al farmaco dalla stessa prodotto, si ritiene siano astrattamente configurabili plurimi scenari.

    Secondo un primo scenario, l'impresa farmaceutica e l'operatore sanitario potrebbero agire quali contitolari del trattamento rispetto ai dati personali dell'interessato, nel caso sussista un progetto condiviso, e quindi siano state condivise le finalità del trattamento e definite congiuntamente le misure tecniche e organizzative. In tal caso le parti coinvolte dovranno stipulare un accordo di contitolarità ai sensi dell'articolo 26 del Gdpr, suddividendo le responsabilità in merito all'osservanza degli obblighi imposti dalla normativa e individuando un unico punto di contatto per gli interessati.

    Un secondo scenario - incentrato sulla finalità di cura della patologia del paziente - prevederebbe che l'impresa farmaceutica agisca come responsabile del trattamento per conto dell'operatore sanitario, in quanto, senza avere un rapporto diretto con l'interessato, sviluppa e fornisce all'operatore l'app, utilizzata dallo stesso per la somministrazione della cura o il monitoraggio della terapia. In questo caso, l'incarico di attuare la soluzione tecnologica sarebbe affidato all'impresa farmaceutica dall'operatore sanitario, che stabilisce le finalità e i mezzi del trattamento, e che nomina l'impresa quale responsabile del trattamento con apposito accordo ai sensi dell'articolo 28 del Gdpr. L'impresa farmaceutica risponderebbe così dei danni solo qualora non avesse adempiuto alle istruzioni impartite dall'operatore sanitario o agli obblighi gravanti in capo ai responsabili del trattamento ai sensi del Gdpr.

    Secondo il terzo scenario, valorizzando in ottica evolutiva sia l'Opinion sopra menzionata sia il provvedimento n. 55/2019, l'impresa farmaceutica e l'operatore sanitario potrebbero agire quali titolari autonomi. In tale contesto, l'app risulterebbe di titolarità dell'impresa farmaceutica. Da una parte, l'operatore sanitario la utilizzerebbe, trattando i dati personali del paziente resi accessibili tramite l'app, per proprie finalità di cura; dall'altra, l'impresa tratterebbe tali dati per la propria finalità di rendere il servizio, ovvero permettere all'operatore di erogare la cura e offrire al paziente ausilio nell'utilizzo del farmaco. Ciascuno di tali soggetti, determinando autonomamente, per la propria area di competenza, le finalità e i mezzi del trattamento, sarebbe così responsabile del rispetto degli obblighi gravanti sul titolare del trattamento.

    Un terzo e ultimo profilo di interesse, infine, concerne la possibilità di svolgere attività di profilazione dei dati relativi alla salute raccolti tramite le applicazioni tecnologiche, intendendosi per profilazione, ai sensi dell'articolo 4, n. 4, Gdpr, "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di dati personali per valutare determinati aspetti personali relativi ad una persona fisica [...] rendimento professionale, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, ubicazione o spostamenti".

    Per l'impresa farmaceutica, lo svolgimento di attività di profilazione può avere diverse applicazioni, per es. ai fini di marketing per la promozione del farmaco, miglioramento delle funzionalità dell'app, sviluppo del farmaco e nuovi prodotti, ricerca scientifica.

    Tuttavia, non risultano del tutto chiari i limiti entro i quali sia possibile svolgere tali attività qualora l'oggetto sia costituito, appunto, dalle categorie speciali di dati. In generale, occorre rilevare che, nel contesto del Gdpr, non sussistono disposizioni che proibiscano tout court l'utilizzo di categorie particolari di dati per attività di profilazione. Anche il provvedimento n. 55/2019 conferma la possibilità di effettuare - previo consenso esplicito dell'interessato - attività di trattamento preordinate alla fidelizzazione della clientela effettuate dalle farmacie attraverso programmi di accumulo punti, o effettuate in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi alberghieri di degenza).

    Anche in passato, il Garante sembra aver ammesso la profilazione dei dati sanitari seppur nel rispetto di determinate condizioni (si veda, per esempio, il provvedimento 126/2016), quali: il rilascio di un'idonea informativa agli interessati, l'attuazione di modalità agevoli per l'esercizio dei diritti degli interessati, l'acquisizione di uno specifico consenso scritto (oggi esplicito), la limitazione della tipologia dei dati trattati a quelli strettamente necessari alla finalità perseguita. Si trattava, nel caso di specie, del trattamento dei dati per finalità di profilazione e marketing connesse all'adesione a un programma di fidelizzazione per prodotti per l'incontinenza.

    Alla luce di quanto precede, possiamo osservare che, rispetto al passato in cui il medico è stato protagonista dei trattamenti in ambito farmaceutico per finalità di profilazione, in futuro, grazie alle tecnologie portabili, l'attenzione degli operatori tenderà a incentrarsi sulla profilazione del paziente: ciò solleverà quesiti e incertezze molto maggiori, viste le implicazioni molto più invasive e quindi rischiose per le libertà e la dignità della persona.

     

     

     

    Originariamente pubblicato su About Pharma and Medical Devices a firma di Paolo Gallarati, Virginia Paparozzi e Valentina Molinari