Codice di Condotta EUCROF: la guida pratica per le CRO per la protezione dei dati personali nell’ambito degli studi clinici

L’adesione al Codice di condotta EUCROF rappresenta per le CRO un importante strumento per dimostrare la propria accountability e conformità al GDPR nell’ambito della ricerca clinica, facilitando la gestione dei rapporti contrattuali con gli Sponsor e degli altri stakeholder nella gestione dei dati personali.

Che cos’è il Codice di condotta EUCROF?

Il Codice di condotta EUCROF GDPR per i fornitori di servizi nella ricerca clinica rappresenta il primo codice transnazionale approvato nell'ambito della salute, applicabile in tutti i 27 Stati membri dell'Unione Europea. Esso definisce i requisiti generali per l’adesione delle organizzazioni di ricerca a contratto (CRO) e di altri fornitori di servizi specializzati nella ricerca clinica che assumono il ruolo di Responsabili del trattamento ai sensi dell’articolo 28 del GDPR.

Il Codice di condotta è stato elaborato e finanziato da EUCROF, la Federazione europea delle CRO composta da associazioni nazionali di CRO e singole CRO con sede in uno o più Paesi europei i cui obiettivi sono quelli di contribuire alla ricerca clinica di alta qualità e promuovere l’eccellenza della ricerca clinica a livello internazionale.

L’EUCROF svolge le proprie attività attraverso gruppi di lavoro composti da esperti in materia selezionati tra le CRO affiliate; tale Codice di condotta, in particolare, è stato redatto da una task force internazionale dedicata nell’ambito del gruppo di lavoro sulle nuove tecnologie. La task force ha consultato gli affiliati dell'EUCROF, nonché i rappresentanti di altre parti interessate: industrie farmaceutiche, associazioni di pazienti, aziende produttrici di dispositivi medici, rappresentanti di comitati etici, rappresentanti di varie organizzazioni accademiche, avvocati specializzati in sistemi sanitari elettronici ed esperti in certificazioni ISO.

L’EUCROF ha invitato le CRO di tutte le dimensioni e che offrono qualsiasi tipo di servizio specializzato nel campo degli studi clinici ad aderire al Codice di Condotta. Se, dopo una verifica indipendente, i servizi di una CRO saranno conformi al Codice di Condotta, la CRO otterrà un marchio di conformità che attesterà l’impegno della CRO a rispettare le garanzie di protezione dei dati personali richieste per la ricerca clinica.

Il Codice di condotta ha ottenuto l’approvazione nella sua versione definitiva il 12 settembre 2024 dalla CNIL, l'Autorità francese per la protezione dei dati, ed è stato riconosciuto dal Comitato Europeo per la Protezione dei Dati (EDPB). La CNIL, in particolare, funge da Autorità di controllo capofila per garantire l’efficace monitoraggio di tale Codice.

Quale finalità ha il Codice?

Il Codice fornisce un’interpretazione specifica del Regolamento (UE) 2016/679 (GDPR) nel contesto della ricerca clinica, delineando come i rispettivi fornitori di servizi devono gestire i dati personali in conformità al GDPR. In particolare, il Codice rappresenta un punto di riferimento pratico e armonizzato per l’adeguamento delle CRO, che trattano dati personali per conto degli Sponsor degli studi clinici, agli obblighi previsti dalle norme europee in materia di protezione dei dati personali.

La finalità del Codice pertanto è duplice: da un lato assicura una protezione uniforme dei dati personali trattati nell’ambito della ricerca clinica tutelando i diritti degli interessati; dall’altro facilità le relazioni contrattuali tra Sponsor e fornitori di servizi nella ricerca clinica.

Qual è l’ambito di applicazione del Codice?

Il Codice si applica ai fornitori di servizi (inclusi nelle 23 classi di servizi coperti dal Codice) che agiscono come Responsabili del trattamento per conto degli Sponsor degli studi clinici quali Titolari del trattamento e che pertanto sono tenuti a rispettare le istruzioni documentate fornite dal Titolare ponendo particolare attenzione alle misure tecniche e organizzative che dovranno essere adeguate a garantire la sicurezza dei dati personali dei partecipanti agli studi clinici.

Sono esclusi dal campo di applicazione del Codice i casi in cui gli Sponsor e la CRO agiscono come Contitolari del trattamento o quando le CRO forniscono un servizio non contemplato dalle categorie di servizi del Codice.

Infine, vale il principio di non esclusività e non equivalenza: l’adesione al Codice non esonera dall’applicazione delle altre norme del GDPR, né sostituisce eventuali codici di condotta settoriali già esistenti.

Quali sono i principi chiave di conformità delle CRO?

Il Codice di condotta indica i seguenti principi fondamentali di protezione dei dati personali che devono essere applicati alle attività di trattamento condotte dalle CRO:

• Liceità, correttezza e trasparenza. Le CRO sono tenute a mantenere i registri delle attività di trattamento completi e aggiornati, a garantire che ogni trattamento sia fondato su una base giuridica appropriata, ad operare sempre secondo principi di trasparenza e a garantire la tracciabilità di ogni operazione di trattamento. Tale trasparenza favorirà la comunicazione con pazienti, i centri di sperimentazione, le aziende farmaceutiche, di biotecnologia, di medtech, i comitati etici e le Autorità.
• Limitazione della finalità. I dati personali raccolti devono essere trattati dalle CRO esclusivamente per le finalità specifiche, esplicite e legittime indicate nel contratto con lo Sponsor. È vietato qualsiasi uso secondario dei dati che non sia autorizzato.
• Minimizzazione e accuratezza dei dati. È obbligatorio raccogliere solo i dati personali che siano strettamente necessari e pertinenti rispetto alle finalità dello studio clinico. Le CRO sono tenute a supervisionare la raccolta e la qualità dei dati nel rispetto di questo principio, adottando procedure di verifica e aggiornamento periodico che consentano di assicurarsi che i dati siano aggiornati e corretti, soprattutto nelle fasi di set-up e monitoraggio dello studio clinico.
• Limitazione della conservazione. I dati personali devono essere conservati solo per il tempo strettamente necessario al raggiungimento delle finalità dichiarate, secondo le istruzioni documentate dello Sponsor dello studio.
• Integrità e riservatezza. Le CRO sono tenute ad implementare misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, inclusi processi di pseudonimizzazione e, ove possibile, di anonimizzazione, oltre ad applicare rigorosi obblighi di riservatezza nei confronti del personale coinvolto.

Quali sono gli obblighi operativi delle CRO?

Ogni CRO aderente al Codice di condotta è tenuta ad effettuare i seguenti specifici adempimenti:

• Designare un DPO: Le CRO devono nominare un Data Protection Officer, responsabile della supervisione delle attività di trattamento e punto di contatto per gli interessati e le Autorità di controllo.
• Gestione dei Sub-responsabili del trattamento: L’affidamento di attività a sub-fornitori è consentito solo previa autorizzazione documentata dello Sponsor e deve essere regolato da clausole contrattuali che garantiscano il rispetto degli standard previsti dal Codice di condotta.
• Misure di sicurezza: Le CRO devono implementare sistemi di gestione della sicurezza delle informazioni e procedure dettagliate per la gestione dei rischi, la formazione del personale e la risposta agli incidenti di sicurezza.
• Collaborazione con il Titolare: Le CRO devono assistere gli Sponsor nello svolgimento della valutazione di impatto sulla protezione dei dati (DPIA), nella gestione delle richieste degli interessati e nella gestione e notifica dei data breach.
• Trasferimenti internazionali: Il Codice disciplina le condizioni per il trasferimento di dati personali verso Paesi terzi, distinguendo tra CRO in qualità di esportatore o importatore di dati, e richiedendo l’adozione di strumenti giuridici adeguati (es. Clausole Contrattuali Standard).

Le CRO che aderiscono al Codice, dopo una verifica indipendente che include audit da parte di enti accreditati, ottengono il diritto di esporre il marchio di conformità EUCROF valido per tre anni. L'adesione può essere avviata registrandosi nel registro pubblico disponibile sul sito di EUCROF.

Come funziona il sistema di monitoraggio?

La conformità al Codice è garantita da un Comitato di Sorveglianza (COSUP), un organo indipendente e imparziale con poteri di audit, di gestione delle adesioni delle CRO e dei reclami, di irrogazione di sanzioni, tra cui la sospensione o la revoca dell’adesione e la segnalazione alle Autorità di controllo in caso di violazioni gravi.

I membri del COSUP devono avere almeno dieci anni di esperienza in settori quali la ricerca sanitaria, la protezione dei dati personali, i sistemi informativi sanitari, la tutela dei diritti dei pazienti o l'esperienza in processi di audit, ispezione o certificazione.