Garante per la protezione dei dati personali (Garante) har gett Azienda Ospedaliera Universitaria Careggi tillstånd att bedriva medicinsk forskning avseende personuppgifter om kontaktbara och okontaktbara (avlidna) registrerade personer i enlighet med reglerna om förhandssamråd enligt artikel 36 i dataskyddsförordningen (GDPR).
Av beslutet framgår att sjukhuset Azienda Ospedaliera Universitaria Careggi avser att bland annat utföra en observationsstudie om effektiviteten hos ett cancerläkemedel vid behandling av en specifik typ av lungcancer. I detta sammanhang genomförde sjukhuset en konsekvensbedömning avseende dataskydd i enlighet med artikel 35 GDPR. Ett av de element som granskades var behandlingen av personuppgifter för både kontaktbara och icke-kontaktbara (avlidna) onkologiska patienter. I enlighet med artikel 110 i den italienska sekretesslagen fick sjukhuset först godkännande från de berörda lokala etikkommittéerna och lämnade sedan in en begäran om förhandssamråd till Garante i enlighet med artikel 36 GDPR för att få tillstånd att fortsätta med studien.
Garante lämnade ett positivt yttrande om behandlingen av personuppgifter om avlidna patienter i syfte att bedriva medicinsk forskning, eftersom sjukhuset angett en lämplig rättslig grund för behandlingen. Garante godkände vidare de skyddsåtgärder som förutsetts av sjukhuset i enlighet med artikel 89 GDPR. Garante påpekade dock att sjukhuset också måste se till att antalet aggregerade statistiska uppgifter som det vill offentliggöra är betydligt lägre än antalet variabler, för att undvika risken för en rekonstruktionsattack.
Av samma skäl ansåg Garante att sjukhuset under de periodiska utvärderingarna av anonymiseringsteknikernas effektivitet bör ta bort alla singulariteter för att uppnå en nivå på 1 procent av singularitetsidentifiering på det totala antalet poster som ingår i datasetet. Utöver detta uppgav Garante i sitt yttrande att sjukhuset, för att säkerställa överensstämmelse med den registrerades rätt till information enligt artikel 13 GDPR och artikel 14 GDPR, bör klargöra vad den rättsliga grunden för en potentiell överföring av uppgifter till tredjeländer ska vara. Sjukhuset bör vidare specificera att om ett samtycke återkallas kommer sjukhuset att upphöra med behandlingen om det inte finns någon annan rättslig grund som motiverar lagring och ytterligare behandling. Slutligen ansåg Garante att sjukhuset måste offentliggöra all information som ska tillhandahållas de registrerade i enlighet med artikel 14 GDPR.