Garante per la protezione dei dati personali (Garante) godkänner behandling av känsliga personuppgifter efter samrådsförfarande enligt artikel 36 dataskyddsförordningen (GDPR).
Av beslutet framgår att marknadsundersökningsföretaget Blauw Research B.V. (den personuppgiftsansvarige), på uppdrag av ett sjukhus, haft ett personuppgiftsbiträdesavtal med programvaruleverantören Nebu B.V. (personuppgiftsbiträdet). Den personuppgiftsansvarige ville undersöka sambandet mellan covid-19-restriktioner och ökningen av psykiska sjukdomar hos barn. För detta ändamål behövde den personuppgiftsansvarige samla in hälsouppgifter om flera tusen patienter. Innan behandlingen påbörjades genomfördes en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR av sjukhuset varpå man inom ramen av ett samrådsförfarande enligt artikel 36 GDPR rapporterat till Garante att det inte var möjligt att samla in ett samtycke från de personer som deltog i studien.
Den personuppgiftsansvarige hävdade att insamling av samtycke från barnen och deras familj skulle innebära en oproportionerligt stor insats för sjukhuset. Ännu viktigare är att denna åtgärd skulle äventyra den vetenskapliga forskningens giltighet. Enligt sjukhuset skulle insamlingen av samtycke oundvikligen leda till en selektionsbias i studien. Faktum är att endast familjer med en högre socioekonomisk bakgrund skulle ge sitt samtycke, eftersom de kan ägna några timmar åt att åka till sjukhuset och skriva under dokumenten. Studien syftade i stället till att analysera begränsningarnas inverkan på alla barns psykiska hälsa.
Garante påpekade att särskilda kategorier av uppgifter, inklusive hälsouppgifter, kan behandlas utan samtycke för vetenskapliga forskningsändamål i enlighet med artikel 9.2 (j) GDPR, förutsatt att lämpliga skyddsåtgärder enligt artikel 89.1 GDPR vidtagits. Dessa skyddsåtgärder som exempelvis pseudonymisering ska garantera principen om uppgiftsminimering. Enligt artikel 9.4 GDPR får medlemsstaterna också anta eller behålla mer restriktiva regler för behandling av hälsouppgifter.
Italienska nationell rätt (artikel 110 i sekretesslagen) genomför artikel 9.4 GDPR i den mån som samtycke till behandling av hälsouppgifter för vetenskapliga ändamål kan undantas endast om insamlingen av samtycke innebär en oproportionerligt stor ansträngning för den personuppgiftsansvarige eller skulle försämra forskningens vetenskapliga kvalitet. Dessutom ska sådan behandling få ett förhandsgodkännande från en etisk kommitté och från Garante själv inom ramen för artikel 36 GDPR.
I det aktuella fallet godkände Garante argumentet om att det skulle innebära en oproportionerligt stor ansträngning för sjukhuset. Å andra sidan ansågs det faktum att insamlingen av samtycke skulle kunna ändra resultaten av studien vara irrelevant. Enligt Garante medför samtycke alltid en selektionsbias i vetenskaplig forskning. Förekomsten av en sådan selektionsbias nämns inte i den italienska lagstiftningen som ett giltigt undantag från den allmänna regeln om samtycke.
Garante konstaterade också att sjukhuset genomfört lämpliga skyddsåtgärder för att skydda integriteten och säkerheten för de uppgifter som samlades in under studien. Därför gav Garante ett positivt svar på förfarandet för förhandssamråd och godkände behandlingen.