Garante per la protezione dei dati personali (Garante) har utfärdat ett positivt yttrande efter ett förhandssamråd med sjukhuset Azienda Socio Sanitaria Territoriale degli Spedali Civili di Brescia som använder artificiell intelligens (AI) för forskning om organbevarande vid halscancer.
Av beslutet framgår att sjukhuset initierat en retrospektiv studie för att förutsäga strupcancerbehandlingars effektivitet och begärde därför ett förhandssamråd enligt dataskyddsförordningen (GDPR). Studien fokuserar på att utveckla en modell för att förutse patienters svar på kemoterapi genom att analysera deras sjukdomshistoria, testresultat och genetiska information. Eftersom många patienter redan avlidit eller är otillgängliga, identifierades en specifik rättslig grund för att behandla deras personuppgifter enligt GDPR.
Garante utfärdade ett positivt yttrande om behandlingen av personuppgifter i förhållande till avlidna eller icke-kontaktbara personer som var involverade i studien. Garante ansåg dock att flera aspekter måste beaktas och förbättras av sjukhuset.
- Sjukhuset har identifierat korrekt rättslig grund för behandling av data om avlidna och otillgängliga personer enligt GDPR, men sjukhuset måste hålla reda på de kontaktförsök som gjorts med personer som för närvarande inte går att kontakta då minst tre misslyckade kontaktförsök krävs enligt artikel 9.2 (j) GDPR.
- Sjukhuset måste ha information om avlidna eller otillgängliga personer för att säkerställa fullständighet i studien och rättvis behandling av deltagarna. Information ska delas på webbplatser för alla deltagande center i Italien.
- Planen att behålla data i 10 år efter studiens avslut är korrekt för att möjliggöra analys och verifiering av resultaten. En 25-årig lagringsperiod skulle dock inte vara laglig enligt GDPR.
- Levande deltagare ska inte ha rätt att invända mot användningen av deras data, men de ska ha rätt att återkalla sitt samtycke och få sina uppgifter raderade. Studiens informationsmeddelanden bör anpassas enligt GDPR.
- Sjukhuset måste vara transparent om de metoder och algoritmer som används för att behandla data, inklusive att publicera en konsekvensbedömning avseende dataskydd och en lista över använda modeller och algoritmer.
- Personuppgifter från den kliniska prövningen ska inte delas, men anonymiserade data kan delas i vetenskapliga publikationer eller konferenser. Noggrann anonymisering och övervakning av effektiviteten är därmed nödvändig för att förhindra identifiering av individer.