Approfondimenti

NOVITÀ SU PRIVACY E DIRITTO FARMACEUTICO

Doris Day ed il Consenso Informato

Nel 1955 usciva un film culto (“l’Uomo che Sapeva Troppo” https://en.wikipedia.org/wiki/The_Man_Who_Knew_Too_Much_(1956_film), dove Doris Day cantava una canzone poi divenuta famosissima (“Che sarà sarà”) in cui una ragazzina, parlando con la madre, immaginava il proprio futuro, in uno scambio di battute tra le due.

Cosa c’entra Doris Day? Serve a fare un paragone, ovvero come io mi sentii più di 10 anni fa nello studiare ed analizzare il regolamento UE 536/2014 sul punto del consenso, quando venni incaricata di tenere un convegno sul tema. Scelsi di parlare della centralità del paziente rispetto al vecchio scenario del D. Lgs 211/2003. Avevo scelto di pormi delle ipotesi applicative dato che di fronte avevo un parterre di persone, provenienti dal mondo farmaceutico, che erano almeno di dieci anni più grandi di me (e con un’esperienza più grande della mia); insomma, come fanno molti quasi-principianti, ho cercato di immaginarmi il futuro della ricerca clinica su alcuni aspetti che all’epoca ritenevo essenziali. Successivamente, nel 2021, da altri soggetti, mi fu richiesto di tenere la formazione sul Regolamento UE 536/2014 e mi accorsi che quasi nulla era cambiato dalla prima volta, se non il fatto che AIFA avesse postato sul proprio sito dei modelli per i consensi informati con la classica richiesta delle crocette, della firma dell’interessato (o del suo legale rappresentante) e basta. la differenza era che, la seconda volta, i miei astanti avevano più o meno la mia età oppure erano più piccoli, e non immaginavano che, in verità, in otto anni nulla era stato sviluppato.

Ripresi le mie slides del 2014 cercando di fare un paragone con quanto AIFA aveva prodotto nel 2020/21. Le novità non erano di certo rilevanti, ma c’era un punto dirimente che AIFA, a mio modesto parere, ancora oggi non ha considerato in pieno.

Nel modello di consenso informato “main” per adulti recuperato dal sito dell’ AIFA, si raccomanda in prima battuta che medico e paziente abbiano un colloquio esauriente al fine di comprendere completamente quanto proposto. Successivamente, rivolgendosi al paziente, si aggiunge anche “Si prenda tutto il tempo necessario per decidere. Può portare a casa una copia non firmata di questo documento per pensarci o per discuterne con altri prima di prendere una decisione”.

Sul medesimo tema, l’articolo 29 del Regolamento UE 536/2014 così’ recita: “Il soggetto, o qualora il soggetto non sia in grado di fornire un consenso informato, il suo rappresentante legale designato, riceve una copia della documentazione (o della registrazione) con cui è stato ottenuto il consenso informato. Il consenso informato è documentato. Al soggetto, o al suo rappresentante legalmente designato è concesso un periodo di tempo adeguato affinché possa soppesare la sua decisione di partecipare alla sperimentazione clinica”. 

Al tempo, mi domandai come potevo riempire il vuoto del “periodo di tempo adeguato”: da un lato infatti, un eccesso di lassismo avrebbe potuto causare la perdita di pazienti, ma dall’altro si dovevano evitare arruolamenti – per così dire – eccessivi e selvaggi.

La soluzione che io proposi, era quella di spezzare l’arruolamento del paziente in due tempi separati e distinti ove, durante un primo incontro il medico spiegasse al paziente la possibilità di essere arruolato in un determinato studio clinico, descrivendone i rischi, i benefici, le possibili alternative e così via. In un secondo e distanziato momento, il paziente avrebbe dovuto comunicare al medico la sua decisione, dopo, appunto essersi portato a casa il foglio non firmato del consenso informato. La mia idea era (e lo è tutt’oggi), che la distanza temporale potesse essere rappresentata da un lasso di tempo pari a sette giorni di calendario così come anche previsto dalla legge 40/2004 in materia di procreazione medicalmente assistita e dalla legge 194/1978 in materia di interruzione volontaria della gravidanza.

A marzo 2024 il Garante della Privacy ha rilasciato un Compendio “sul trattamento di dati personali effettuato attraverso piattaforme volte a mettere in contatto i pazienti con i professionisti sanitari accessibili via web e app” (qui il link). tali piattaforme servono appunto a mettere in contatto il medico con il paziente, tramite di esse non possono essere rilasciati pareri medici (che solo questi ultimi possono dare), ma consentono all’utente di potere scegliere il medico, l’orario delle visite, e la comunicazione eventuale delle ricette. In alcuni casi, è possibile vengano archiviati su tali piattaforme referti o immagini relative ai singoli pazienti.
A detta del Garante, dunque, sono trattati (i) dati degli utenti che potrebbero anche essere dati sanitari; (ii) dati personali dei professionisti sanitari; (iii) dati sulla salute dei pazienti. Ovviamente aderire a questo tipo di app è una scelta facoltativa dell’utente, sia per quanto riguarda un trattamento fatto tramite il servizio sanitario nazionale che con un professionista di libera scelta.
Sia chiaro che non si tratta di “telemedicina”, ma di un servizio di carattere amministrativo dove, incidentalmente, sono anche trattati dati sanitari.

Tralasciando le basi giuridiche del trattamento e la necessità della DPIA ex art. 35 GDPR, dato che il compendio spiega molto bene questi passaggi, la cosa che mi sembra eccessiva è il fatto di dovere ritenere titolare dei dati dei pazienti il medico scelto dai pazienti medesimi. È certamente raro vedere nominato titolare del trattamento una persona fisica, ossia il medico che ha acquistato il servizio web/app. E’ notorio che in capo ai titolari del trattamento vi siano obblighi e responsabilità di non poco conto, inoltre, per mancata osservanza di tutte quelle regole riportate nel compendio, le multe possono essere anche salate.

Non sarebbe forse il caso di consigliare al medico di sottoscrivere delle polizze assicurative (qualora già esistessero), oppure, qualora ricorresse la fattispecie, non dovrebbe essere la struttura alla quale il medico afferisce, il vero titolare del trattamento? Francamente ritengo molto rischiosa la posizione presa dal Garante nei confronti di persone fisiche.

Esiste un argomento nel nuovo regolamento sulle Sperimentazioni Cliniche che avrebbe dovuto portare una rivoluzione sul tema, rivoluzione che invece – ad oggi – non c’è stata.
Si introduceva nei paesi dell’Unione, magari nel caso in cui il paziente non fosse in grado di scrivere a causa della sua malattia, la possibilità di effettuare riprese audio/video che avessero il medesimo valore legale del foglio relativo al consenso informato che oramai, forse per abitudine o per noia, si continua ad utilizzare (Art. 29).
Benissimo. Ciò significa che ogni centro partecipante ad uno studio clinico si sarebbe dovuto attrezzare con un sontuoso e costoso sistema che garantisse l’integrità della raccolta del consenso audio-video e la sua non revoca da parte del paziente, per almeno 25 anni. Ma esiste un prodotto di questo tipo sul mercato? Forse è per questo che le case farmaceutiche, sponsor di studi clinici, continuano a preferire la carta invece di lanciarsi verso la completa dematerializzazione.

Sul documento (https://www.ema.europa.eu/en/documents/regulatory-procedural- guideline/guideline-computerised-systems-and-electronic-data-clinical-trials_en.pdf) che consiglierò sempre di studiare a memoria per chi mastica il cosiddetto “life sciences”, si parla di consenso informato cartaceo, di consenso informato elettronico (ebbene sì, questa è una novità che nel Regolamento UE 546/2014 non mi risulterebbe, ma se qualcuno è più accorto di me lo segnali pure), ma delle riprese audio/video per raccogliere il consenso, o il dissenso del paziente, non vi è traccia.
La domanda da rivolgere ad ingegneri e tecnici informatici è: allo stato dell’arte attuale, è possibile conservare delle riprese audio video per almeno 25 anni? Fermo restando ovviamente l’obbligo di pseudonimizzazione dei dati raccolti nel corso dello studio e collegati a un determinato paziente, è possibile crittografare un video o applicare le regole dell’art. 32 e della
ISO 27001 e s.m.i.?
A tutto questo, che rappresenterebbe una vera grande innovazione, nessuno si è degnato di rispondere, o quanto meno di porsi il problema.
Ovviamente, si accettano suggerimenti. E mi raccomando, io presuppongo che chi si occupi di “life sciences” conosca le EMA GCP come l’Ave Maria, altrimenti non si va davvero da nessuna parte.

TORNA SU