Pubblicazioni dei dipartimenti e degli uffici della Confederazione
Autorizzazione generale a togliere il segreto professionale a scopo di ricerca nei campi della medicina e della sanità pubblica La Commissione peritale del segreto professionale in materia di ricerca medica, nella seduta plenaria del 13 aprile 2000, visti: l'articolo 321bis del Codice penale svizzero (CP, RS 311.0) e gli articoli 1, 3 capoverso 1, 9 capoversi 5, 10, 11 e 13 dell'ordinanza del 14 giugno 1993 concernente l'autorizzazione a togliere il segreto professionale in materia di ricerca medica (OATSP, RS 235.154); in re Universitätspital Zürich concernente la domanda del 30 aprile 1998 per un'autorizzazione generale a togliere il segreto professionale in virtù dell'articolo 321bis CP, a scopo di ricerca nei campi della medicina e della sanità pubblica, decide:
1
Titolare dell'autorizzazione
All'Universitätspital Zürich è rilasciata un'autorizzazione generale a togliere il segreto professionale in virtù dell'articolo 321bis CP unitamente all'articolo 3 capoversi 1 e 2 e all'articolo 11 OATSP, alle condizioni e agli oneri indicati più sotto.
Il responsabile della ricerca autorizzata è il direttore medico prof. dr. med. V. E.
Meyer.
L'autorizzazione permette al personale dell'Universitätspital Zürich, cui è affidata la ricerca interna all'istituto, nonché agli studenti in procinto di ottenere il dottorato di prendere visione di dati non anonimizzati a scopo di ricerca nei campi della medicina e della sanità pubblica alle condizioni qui sotto indicate.
L'autorizzazione permette di prendere visione di dati non anonimizzati, senza che il responsabile della collezione dei dati violi il suo obbligo del segreto professionale.
Questo vale tuttavia solo all'interno dell'Universitätspital Zürich designato quale titolare dell'autorizzazione. Qualora per progetti di ricerca fosse necessario far ricorso ad altri ospedali, ad altri istituti medici o a medici indipendenti per prendere visione di dati non anonimizzati, o si dovesse consentire a ricercatori esterni di poter prendere visione di dati non anonimizzati dell'Universitätspital Zürich, dovrebbe essere presentata una domanda di autorizzazione particolare alla Commissione peritale.
2000-1466
3525
2
Scopo ed estensione della visione dei dati
L'autorizzazione include il diritto di prendere visione di dati importanti contenuti in banche-dati interne e negli archivi cartacei per progetti di ricerca interni all'Universitätspital Zürich.
3
Condizioni
I dati relativi a pazienti il cui consenso può essere ottenuto senza eccessive difficoltà e senza che siano arrecati loro pregiudizi rilevanti, non possono essere utilizzati a scopo di ricerca sulla base della presente autorizzazione.
I dati non anonimizzati possono essere utilizzati senza autorizzazione unicamente qualora il progetto di ricerca non possa essere realizzato con dati anonimizzati.
I pazienti devono essere informati sul fatto che essi possono vietare la trasmissione dei dati. I dati di cui è stata vietata la trasmissione non possono essere utilizzati a scopo di ricerca.
Il direttore medico responsabile ha l'obbligo di garantire la protezione dei dati e il rispetto di eventuali divieti d'utilizzazione.
4
Collezioni di dati e aventi diritto all'accesso a.
L'Universitätspital Zürich deve garantire che i dati personali siano ben distinti dai dati già anonimizzati.
b.
A scopo di ricerca, i collaboratori dell'Universitätspital Zürich nonché, previa autorizzazione del primario o del capoclinica, gli studenti in procinto di ottenere il dottorato hanno accesso ai nuovi dati. All'occorrenza è permesso l'accesso ripetuto a dati già utilizzati. Terminato il progetto di ricerca, è necessaria l'autorizzazione del responsabile della ricerca per accedere di nuovo ai dati.
5
Durata della conservazione dei dati
La durata della conservazione dei dati è retta dal diritto cantonale. La distruzione dei dati del progetto di ricerca deve avvenire conformemente alle prescrizioni dell'Incaricato cantonale della protezione dei dati.
6
Misure di anonimizzazione
I dati estratti dagli archivi dell'Universitätspital Zürich devono essere anonimizzati all'inizio dell'attività di ricerca.
7
Criteri di identificazione
Ci si deve accertare che nelle pubblicazioni che si basano sui dati raccolti le persone registrate non possano essere identificate.
3526
8
Oneri a.
Per ogni progetto di ricerca si deve ottenere il nullaosta di una commissione per le questioni etiche. Nel caso concreto competente è la Commissione etica sulla ricerca interna all'ospedale. Oltre alla verifica dei requisiti etici deve accertare la conformità del progetto di ricerca con le esigenze della protezione dei dati.
Prima di inoltrare il progetto di ricerca alla Commissione etica, un delegato alla ricerca appartenente all'istituto o alla clinica deve pronunciarsi sulla completezza dei dati. I dati necessari comprendono la descrizione del tema di ricerca, la comunicazione dei nominativi del direttore responsabile della clinica o dell'istituto e del responsabile capo del gruppo di ricerca, i motivi per cui è necessaria la visione dei dati non anonimizzati e per cui il consenso degli aventi diritto può essere ottenuto soltanto con eccessive difficoltà, la prova che gli interessi della ricerca in questione sono preponderanti rispetto all'interesse degli aventi diritto a mantenere segreti i dati concernenti la loro salute e che gli aventi diritto sono stati informati sul progetto di ricerca e sul loro diritto di veto.
Dopo l'esame della richiesta di ricerca da parte del delegato preposto alla ricerca la richiesta è inoltrata alla Commissione etica specialmente costituita.
Essa si occuperà dell'esame del progetto di ricerca per stabilire se le indicazioni sono state rispettate e se è il caso di rilasciare una dichiarazione di ineccepibilità. Oltre all'esame dei requisiti puramente etici deve anche verificare le condizioni relative alla protezione dei dati. La dichiarazione di ineccepibilità debitamente compilata deve essere inoltre vidimata dal direttore medico.
Se questa dichiarazione è respinta, il progetto di ricerca non può essere realizzato sulla base dell'autorizzazione alla clinica. In questo caso rimane salva la richiesta di un'autorizzazione particolare.
b.
I dati personali devono essere protetti mediante misure opportune a carattere tecnico e organizzativo contro un'elaborazione non autorizzata. Per questo compito il titolare dell'autorizzazione si attiene alle istruzioni tecniche e organizzative in materia di protezione dei dati emanata dall'Incaricato federale della protezione dei dati. Si tratta in particolare di osservare i punti seguenti: i dati personali non anonimizzati, ossia le collezioni di dati elettroniche, le cartelle cliniche e gli schedari con dati relativi a pazienti vanno tenuti sotto chiave; l'accesso a banche-dati elettroniche deve essere reso sicuro mediante un password personale; ogni persona autorizzata ad accedere ai dati deve disporre di un password e tenerlo segreto; e ogni accesso alle banche di dati personali non anonimizzati, memorizzati su calcolatori elettronici che sono allacciati ad una rete informatica deve essere automaticamente registrato, a meno che si possa costatare posteriormente in altro modo, se i dati sono stati utilizzati allo scopo per i quali erano stati comunicati.
c.
Le cartelle mediche e le collezioni di dati devono menzionare l'eventuale rifiuto dell'utilizzazione dei dati a scopo di ricerca.
3527
d.
L'Universitätsspital Zürich deve registrare i singoli progetti interni di ricerca e notificarli annualmente al Segretariato della Commissione peritale a destinazione del presidente. La notifica deve contenere: il titolo del progetto di ricerca; le dimensioni (presunte) del gruppo di lavoro, i criteri che ne giustificano il coinvolgimento nel progetto di ricerca e lo scopo di quest'ultimo; il responsabile a capo del progetto; i nominativi delle persone autorizzate a prendere visione dei dati non anonimizzati; per ogni progetto di ricerca, la prova del rilascio del nullaosta da parte della competente Commissione per le questioni etiche secondo la lettera a.
e.
L'Universitätsspital Zürich deve emanare un regolamento per l'accesso ai dati e farlo pervenire al Segretariato a destinazione del presidente della Commissione.
Il regolamento deve stabilire in quale funzione i collaboratori, a scopo di ricerca, hanno accesso alle collezioni elettroniche di dati personali non anonimizzati. I dati non anonimizzati non devono essere accessibili a persone che svolgono ricerche senza essere autorizzate a tale accesso. In particolare, possono essere messe a disposizione di altri ospedali, istituti o di ricercatori esterni unicamente dati anonimizzati.
I collaboratori autorizzati all'accesso devono firmare la dichiarazione qui allegata concernente l'obbligo di mantenere il segreto, a cui soggiacciono in virtù dell'articolo 321bis CP. La dichiarazione firmata dovrà essere conservata a destinazione della Commissione etica dell'ospedale.
9
Durata dell'autorizzazione
La presente autorizzazione è valida per un periodo di cinque anni a partire dal momento in cui è passata in giudicato.
Nei seguenti casi deve essere presentata una nuova domanda completiva, prima del decorso della durata dell'autorizzazione:
avvicendamento del direttore medico dell'ospedale;
modifica del concetto basato su tre fasi per l'adempimento degli oneri previsti nella decisione d'autorizzazione;
avvicendamento del presidente della Commissione etica sulla ricerca;
cambiamento della gestione dei dati;
cambiamento del regolamento d'accesso;
cambiamento della struttura amministrativa e organizzativa dell'ospedale.
3528
10
Termine per l'adempimento degli oneri
Il termine imposto all'Universitätsspital Zürich per l'adempimento degli oneri indicati alla cifra 8 lettere b-e è di 6 mesi, a partire dal momento in cui la decisione d'autorizzazione è passata in giudicato.
11
Conseguenze penali
Conformemente all'articolo 321bis CP, chiunque rivela in modo illecito un segreto, del quale ha avuto conoscenza nell'esercizio della sua attività di ricerca nei campi della medicina o della sanità pubblica, è punito in virtù dell'articolo 321 CP.
12
Rimedi giuridici
Contro la presente decisione può essere interposto ricorso amministrativo in virtù dell'articolo 33 capoverso 1 lettera c della legge federale del 19 giugno 1992 sulla protezione dei dati (LPD; RS 235.1) e dell'articolo 44 segg. della legge federale del 20 dicembre 1968 sulla procedura amministrativa (LPA; RS 172.021) entro 30 giorni dalla notifica rispettivamente dalla pubblicazione presso la Commissione federale sulla protezione dei dati, casella postale, 3000 Berna 7. Il ricorso deve essere presentato in duplice copia e deve contenere le conclusioni, i motivi, i mezzi di prova e la firma del ricorrente o del suo rappresentante.
13
Comunicazione e pubblicazione
La presente decisione è notificata per scritto all'Universitätsspital Zürich e all'Incaricato federale della protezione dei dati.
Il dispositivo della decisione è pubblicato sul Foglio federale. L'avente diritto al ricorso può, entro il termine di ricorso, prendere visione dell'intera decisione presso il Segretariato della Commissione peritale, Ufficio federale della sanità pubblica, Divisione giuridica, 3003 Berna, dopo essersi annunciato telefonicamente (031/322 94 94).
25 luglio 2000
Commissione peritale per il segreto professionale in materia di ricerca medica: Il presidente, prof. Dr. iur. Franz Werro
3529