Il registro tumori e la cessione della banca dati genetica della società Shardna: sono questi i due casi sardi su cui si è espresso nel 2016 il Garante per la Protezione dei Dati personali, l’autorità nazionale che si occupa di pareri e provvedimenti in merito alla privacy dei cittadini italiani.
La Relazione annuale 2016 del Garante è stata presentata questa mattina al Parlamento (qui il testo completo): 236 pagine contenenti tutti i lavori portati avanti dall’autorità, istituita vent’anni fa per tutelare i diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. I numeri di un anno di attività sono stati illustrati dal presidente Antonello Soro: sono 24mila le risposte a quesiti presentati da enti, cittadini, professionisti, società e associazioni, 562 pareri collegiali, 20 pareri resi al Governo e oltre tre milioni di euro di sanzioni riscosse per violazioni di legge. L’autorità, come detto, si è occupata anche di questioni relative all’Isola.
La prima riguarda la cessione della banca dati del genoma ogliastrino Shardna: “È da tempo all’attenzione del Garante – si legge nella relazione presentata oggi – la vicenda relativa alla cessione a terzi di una banca dati genetica della popolazione sarda, a seguito del fallimento della società di ricerca che la gestiva“. L’azienda SharDna, prima società per la raccolta di campioni genetici in Italia fondata nel 2000 da Renato Soru e da Mario Pirastu, è stata venduta a una società inglese lo scorso luglio, come riportava per primo il quotidiano Financial Times. La società, dichiarata fallita nel 2012, era stata ceduta per 258 mila euro insieme alla preziosa banca dati del genoma raccolto da 12mila ogliastrini dei paesi di Baunei, Escalaplano, Loceri, Perdasdefogu, Seui, Seulo, Ussassai, Urzulei, Talana e Triei. Da qui l’intervento del Garante, chiamato in causa prima dal curatore fallimentare della Shardna e poi dagli stessi ogliastrini per un parere sull’uso della banca dati del genoma. Nella delicata vicenda si inseriva, nel frattempo, la scomparsa di 14.000 campioni biologici dalla sede del Parco genetico dell’Ogliastra, a Perdasdefogu, consorzio che aveva collaborato alle attività di ricerca. “Inoltre, un centinaio di donatori nel 2016 si sono rivolti all’Autorità, lamentando una serie di aspetti relativi al trattamento dei dati, effettuato a suo tempo nell’ambito della ricerca, tra i quali l’incompletezza dell’informativa resa agli interessati, l’indebita raccolta dagli archivi anagrafici comunali dei dati volti a ricostruire gli alberi genealogici della popolazione, la carenza di misure di sicurezza adeguate, nonché l’impossibilità ad oggi di esercitare i loro diritti riguardo al trattamento dei dati e dei campioni contenuti nella banca dati a causa della mancanza di indicazioni utili a identificare con certezza l’effettivo titolare del trattamento”.
Ed ecco il parere del Garante: “Poiché, anche sotto altri aspetti relativi alla protezione dei dati personali, la vicenda presenta vari profili di criticità, l’Autorità ha ritenuto necessario predisporre cautele idonee ad assicurare il rispetto dei diritti degli interessati. È stato, quindi, adottato un provvedimento di blocco nei confronti della società londinese, al fine di fronteggiare il rischio del verificarsi di un pregiudizio rilevante per gli interessati, consentendo così ai donatori di manifestare il proprio consenso al trattamento dei dati da parte della nuova società, ovvero esercitare i loro diritti con riferimento all’utilizzo dei dati e dei campioni contenuti nella biobanca. Il blocco non riguarda, infatti, le operazioni di trattamento necessarie alla nuova società per garantire un’adeguata conservazione dei dati e dei campioni contenuti nella banca dati (ove, venute meno le esigenze cautelari, venga acquisita la disponibilità di questi ultimi), nonché per ricontattare i donatori, al fine di rendere loro l’informativa e raccogliere una nuova manifestazione di consenso, oppure per fornire adeguato riscontro alle eventuali richieste degli interessati volte a esercitare i loro diritti in materia di protezione dei dati personali. A fine 2016, inoltre, il Garante ha rinnovato l’autorizzazione generale sui dati genetici, in termini sostanzialmente analoghi alla precedente . Al pari delle altre, tale autorizzazione sarà efficace dal 1 gennaio 2017 fino al 24 maggio 2018, tenuto conto che a decorrere dal 25 maggio 2018 sarà applicabile il regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.
Il Garante è stato coinvolto anche su un secondo caso, quello dell’istituzione del registro regionale dei tumori, il primo del genere in Italia, approvato dal Consiglio regionale della Sardegna lo scorso 8 novembre. “Nel 2016 l’Autorità si è occupata dei registri di patologia, per gli aspetti relativi ai trattamenti di dati personali, anche sensibili, effettuati per la loro realizzazione e tenuta. In tale ambito, il Garante ha espresso parere favorevole sullo schema di regolamento del registro tumori della Sardegna. Il testo, predisposto dalla Regione Sardegna, è stato uno dei primi in Italia a regolamentare, in linea con la normativa nazionale, i registri di patologia definendo le modalità di raccolta e trattamento dei dati anagrafici e sanitari delle persone affette da tumore e dei loro familiari, per finalità di studio e ricerca, nonché per una corretta stima epidemiologica ed economica della malattia. Lo schema di regolamento, che tiene conto di molte delle osservazioni del Garante, determina, tra l’altro, quali dati contenuti nei registri delle tre macro aree, individuate in Sardegna, dovranno convergere nel registro unico regionale e stabilisce l’obbligo di informare i pazienti riguardo all’uso che verrà fatto dei loro dati sensibili. Il regolamento prevede, inoltre, l’adozione di particolari cautele a protezione dei dati riferiti ai malati di tumore (come, ad es., la pseudonimizzazione al fine di non rendere le informazioni personali immediatamente riconducibili al singolo malato), così come l’implementazione di misure organizzative e accorgimenti tecnici idonei a garantire la sicurezza delle informazioni. Nel dare il suo parere, l’Autorità ha comunque chiesto ulteriori perfezionamenti del testo. Tra questi, la previsione che la titolarità del trattamento dei dati del registro dei tumori non sia riferibile alla Regione Sardegna, ma all’Osservatorio epidemiologico regionale, ovvero all’organo incaricato per legge del perseguimento degli scopi scientifici e di valutazione dell’assistenza sanitaria. In questo modo, solo gli operatori dell’Osservatorio potranno trattare dati personali sulle neoplasie dei singoli pazienti, mentre gli altri organi o uffici della Regione potranno consultare solo informazioni aggregate e anonime”. Tra le misure indicate dall’Autorità per rendere i dati sicuri anche l’uso di meccanismi di autenticazione forte da parte del personale incaricato e la conservazione separata dei dati anagrafici da quelli sanitari.
Francesca Mulas
