La privacy dei dati sanitari al tempo della pandemia

Videodialisi, visite a distanza, prenotazioni e ritiro referti online. Non è tutto: chip sottopelle per i diabetici, smartwatch per tenere sotto controllo il battito cardiaco e contare i nostri passi, app per il contact tracing. La salute corre in rete, con potenzialità straordinarie. E con rischi senza precedenti, soprattutto per quanto riguarda la nostra privacy. Un approfondimento con l’avvocato Giovanni Battista Gallus e il ricercatore in informatica Ciro Cattuto.

Che cos’è la privacy?

“Un diritto fondamentale, compreso nella Carta dei diritti fondamentali dell’Unione Europea: spetta a ciascun individuo ma la sua dimensione non è solo la protezione dati personali in senso ristretto, bensì si può considerare strumentale alla tutela della dignità e della libertà dell’interessato”, spiega Giovanni Battista Gallus, Data Protection Officer (Dpo) in aziende sanitarie e docente ai corsi di perfezionamento e al Master del Politecnico e dell’Università Statale di Milano sui temi della protezione dei dati personali e del diritto dell’informatica. “In ambito sanitario, non è pertanto legato solo alla mera necessità di proteggere i dati sanitari, ma si estende a qualunque attività possa incidere sulla dignità delle persone e sulle libertà”.

La disciplina: il Gdpr e le altre fonti

La normativa di riferimento è il Regolamento Generale sulla Protezione dei Dati (Gdpr), ufficialmente regolamento n. 2016/679, ma le informazioni inerenti lo stato di salute rientravano già tra i dati sensibili, disciplinati con un regime di protezione particolare nel nostro Paese in base al Codice in materia di protezione dei dati personali (più noto come Codice della privacy), con una serie di cautele specifiche. L’articolo 9 del Gdpr dispone per i dati sanitari una protezione rafforzata: il criterio generale è che il trattamento di questo tipo di dati è vietato, fatte salve le eccezioni previste dalla norma, ad esempio quando lo stesso sia effettuato per finalità di cura da soggetti tenuti al segreto professionale, come medici, infermieri e operatori sanitari.

L’art. 9 del Gdpr dispone per i dati sanitari una protezione rafforzata

“Hanno un ruolo importante anche tutta una serie di provvedimenti del Garante, tra i quali molti antecedenti il Gdpr, che hanno affrontato il tema del Dossier sanitario o del Fascicolo sanitario elettronico, con una disciplina particolare nell’ambito dei trattamenti per finalità di cura – sottolinea Gallus -.  Ancora, un’altra parte di indicazioni in materia è costituita dalle linee guida e dalle opinioni del Comitato europeo per la protezione dei dati, che aiutano nell’interpretazione e nell’applicazione delle norme”.

I principali obblighi per il mondo della sanità

Quali sono i principali obblighi che gravano su chi opera nella sanità? “Innanzitutto il rispetto dei principi fondamentali – sostiene Gallus -. In particolare è importante individuare quei trattamenti strettamente necessari per finalità di cura, per i quali non è più richiesto il consenso al trattamento dopo il Gdpr, rispetto a quelli non strettamente necessari e a quelli con regimi particolari, ad esempio il Fascicolo sanitario elettronico che è regolato dal Decreto-legge 179/2012, recentemente modificato dal Decreto-legge 76/2020, il Dossier sanitario, le app mediche. In tutti questi casi ci sono regole ad hoc che vanno rispettate: la disciplina è sfaccettata e gli obblighi molteplici”.

Le criticità: scarsa consapevolezza e disomogeneità nei sistemi informativi

I problemi che si pongono più spesso in quest’ambito rientrano in due macro categorie. “Il primo profilo è legato alla consapevolezza degli operatori, perché talvolta la protezione dati personali è vista come un adempimento burocratico e non ne viene percepito il valore di tutela dei diritti e delle libertà fondamentali – commenta il legale -. Quindi un primo fronte su cui lavorare è la costruzione della consapevolezza dell’importanza della protezione dei dati personali, che non si può limitare alla consegna dell’informativa e al barrare la casella giusta”.

Il secondo aspetto problematico è legato all’informatizzazione non organica dei sistemi delle aziende sanitarie, che spesso nascono e vengono poi sviluppati in successive fasi, anche perché richiedono di solito investimenti rilevanti. “Accanto a sistemi all’avanguardia devono convivere sistemi datati e non sostituibili, banalmente di solito per ragioni di costo – dichiara Gallus -. Una delle chiavi di volta è l’uso di standard interoperabili per consentire ai sistemi di dialogare in sicurezza e di costruire un sistema informativo complessivo funzionale e ragionevolmente sicuro”.

Accanto a sistemi all’avanguardia convivono sistemi datati e non sostituibili

Trovare un equilibrio: privacy by design e privacy by default

Oltre al rispetto dei principi e delle indicazioni del Gdpr, è utile lavorare in ottica di Privacy by design e Privacy by default:

  • privacy by design significa fin dall’inizio fare in modo che l’intera gestione del trattamento sia costruita per rispettare i diritti e le libertà degli interessati: ad esempio, costruisco i sistemi in maniera di trattare solo i dati necessari, garantendo l’inserimento delle corrette autorizzazioni al trattamento e offrendo la possibilità di cancellare i propri dati o di aggiornarli;
  • privacy by default sta per impostazione predefinita: raccogliere solo i dati strettamente necessari. Rispetto alle finalità, riduco quindi i dati personali che devo trattare, e tratto i dati anonimi laddove non sia necessario fare altrimenti.

Perché i dati sanitari sono importanti

I dati sanitari sono fondamentali soprattutto per le finalità di ricerca scientifica. “L’uso dei Big Data aiuta la ricerca, ce ne siamo resi conto in modo particolare con la pandemia; e non è incompatibile con il principio dell’utilizzo soltanto per le finalità per la quale i dati sono stati raccolti – sostiene l’avvocato -. È però importante che avvenga nel rispetto dei principi del Gdpr: i dati personali devono essere usati solo qualora sia indispensabile, mentre in tutti casi in cui è possibile, vanno utilizzati i dati anonimizzati e aggregati in base a quanto prescritto dalle linee guida, perché enormi moli di dati possono anche consentire di costruire profili degli individui, che, se identificati o identificabili, rischiano di creare discriminazioni”.

L’uso dei Big Data aiuta la ricerca

Rivelare una situazione di salute non può essere una scelta compiuta da altri per noi o dipendere da un errore o una sottovalutazione: “Al massimo si può trattare di una consapevole decisione dell’interessato, perché anche un disturbo banale può causare discriminazioni ed esclusione – precisa Gallus -. La notizia relativa a uno stato di salute può orientare un datore di lavoro a non assumere una persona, per non parlare di ipotesi più gravi relative a patologie come la malattia da Hiv o problemi come la tossicodipendenza: in casi come questi il Garante ha sanzionato l’illecita comunicazione, sulla base del principio generale che solo l’interessato è legittimato a stabilirne la diffusione”.

Il Covid e l’accelerazione della spinta telematica

Con lo scoppio della pandemia si è creata una notevole pressione sul settore sanitario, in primis perché le aziende sanitarie sono state sottoposte a un enorme stress, ma ad esso, puntualizza il legale, si è affiancata anche una forte spinta per l’adozione massiva della telematica: “Si va dai consulti a distanza alla ricetta dematerializzata, ai referti online e all’uso sempre più massivo del Fascicolo sanitario elettronico. Le soluzioni informatiche, se correttamente configurate, possono consentire un miglioramento notevole dei servizi erogati al cittadino: pensiamo a quanto la ricetta dematerializzata abbia semplificato la vita ed eliminato passaggi cartacei, così come il ritiro dei referti tramite il Web”.

Uno sguardo al futuro: l’intelligenza artificiale

All’incrocio tra i temi della responsabilità medica, dell’etica e dell’uso dei Big data, c’è l’intelligenza artificiale. “Spesso è un’etichetta usata per incasellare tecniche avanzate di machine learning ma non un’intelligenza artificiale vera e propria – dice Gallus -. In ogni caso, di certo, in ambito sanitario ci sono campi di applicazione di particolare interesse, ma si pongono problemi giuridici ed etici. Una domanda da porsi è ad esempio quale sia l’autonomia del sanitario a fronte di una diagnosi effettuata dall’intelligenza artificiale. Sarebbe inaccettabile una black box che decide diagnosi e trattamento in assenza di possibilità di verificare almeno a grandi linee quale sia stato il processo che ad essi ha condotto. La grande sfida, già ora, ma lo sarà ancora di più nel futuro, è quella di riuscire a godere dei benefici che certamente la tecnologia può portare, limitando al massimo i rischi”.

La pandemia e le app di contact tracing

Sulle applicazioni per il tracciamento dei contagi, come l’italiana Immuni, si è scatenato un notevole dibattito in particolare in relazione alla tutela della privacy. “Il confronto è partito da una posizione a mio parere profondamente sbagliata, cioè che la privacy è una fisima, non ce ne importa nulla, dobbiamo combattere la pandemia senza preoccuparci di travolgerla – dice Gallus -. Per fortuna questa idea è stata presto accantonata e in Italia abbiamo avuto l’adozione di una norma speciale che ha regolato l’app di contact tracing e di un provvedimento ministeriale dedicato, che ha previsto la costruzione dell’app in maniera tale da avere forse non perfette ma sicuramente adeguate garanzie di sicurezza e di protezione dei dati personali. Qualunque strumento del genere richiede la collaborazione e il coinvolgimento di Apple e Google, i duopolisti dei sistemi operativi degli smartphone, ma c’è stato un bilanciamento ragionevole fra le necessità del tracciamento e il trattamento dei dati personali”.

L’app Immuni: cosa non ha funzionato?

Dell’app Immuni ormai si parla pochissimo: è evidente che non ha dato i risultati sperati. Perché? Risponde Gallus: “Purtroppo in Italia non c’è stata un’applicazione significativa per l’assenza di interazione dell’app con i protocolli di tracciamento dei contatti. Ci sono stati casi in cui le aziende sanitarie non tenevano conto delle segnalazioni e non le processavano: l’app non si è inserita nel processo di tracciamento. Secondo alcuni le garanzie erano talmente forti che l’app si è rivelata inutile. Non sono in grado di valutarlo, ma dal punto di vista della gestione dei dati personali è stato fatto un ottimo lavoro”.

Privacy e protezione della salute possono essere gestite insieme

Tra le ragioni dell’insuccesso ci potrebbe essere anche il nodo della privacy, ma in un senso molto differente rispetto alla sua violazione: “Il vero problema è stato, specialmente da parte di una certa comunicazione e di alcuni decisori, l’aver comunicato una falsa dicotomia tra privacy e protezione della salute, che in questo caso non c’è mai stata perché si sono molto presto creati dei meccanismi tecnici e protocolli in grado di svolgere la funzione di allerta senza raccogliere dati per loro natura sempre troppo sensibili”, sostiene Ciro Cattuto, professore associato al Dipartimento di Informatica dell’Università degli Studi di Torino e ricercatore principale e coordinatore dell’Area della Ricerca alla Fondazione Istituto per l’Interscambio Scientifico (Isi). È stato tra i membri della task force per l’utilizzo dei dati contro l’emergenza Covid-19 istituita dal governo Conte II. “Dove sono state raccolte nel dettaglio le traiettorie dei cittadini e sono state memorizzate in modo sistematico, quindi non in Europa e in Italia dove ci sono il Gdpr e il Garante, purtroppo nel giro di pochi mesi i dati sono stati passati alla polizia per scopi che nulla avevano a che fare con il contact tracing. Sono dati che, se materializzati, sono automaticamente pericolosi: una consapevolezza che ha informato l’intero progetto dell’app italiana”.

Un ruolo, secondo il ricercatore, l’ha giocato anche la terminologia: “Si è parlato di tracciamento, che dà l’idea di essere seguiti, invece qui si tratta di allertare rispetto al fatto di essere entrati in contatto con qualcuno positivo, operazione che si basa ovviamente sul tracciare gli incontri ma non richiede che le tracce siano materializzate in un singolo posto”.

App Immuni: si tratta di allerta, non di tracciamento

Infine, secondo Cattuto, c’è chi ha peccato di “tecnosoluzionismo”, cioè di ritenere che l’app di per sé potesse sconfiggere il virus. “Era impensabile che l’app potesse risolvere da sola il problema: va intesa come complemento ad altre misure che includono il tracciamento manuale, call center per gli utenti che ricevono la notifica, possibilità per l’utente di condividere la notizia quando riceve un test positivo, follow-up rapido con le informazioni utili, gestione della quarantena. L’app è un mattoncino di una filiera che per la gran parte non è tecnologica e deve funzionare bene; questo è venuto meno e si è preferito puntare il dito contro un’app che è stata scaricata da 10 milioni di utenti in tre mesi, operazione in cui non riescono nemmeno le Big Tech”.

 

Le app di contact tracing possono salvare vite umane

Quella che all’inizio era un’intuizione sta assumendo adesso contorni più realistici: dove è stata usata e ben integrata con la filiera sanitaria, l’app funziona e consente di salvare molte vite. È il caso della Gran Bretagna e della Svizzera: “Le prime valutazioni dell’impatto dello strumento evidenziano che non esiste una soglia magica oltre la quale l’app funziona, bensì il beneficio è graduale e più persone la usano e meglio è – spiega Cattuto, tra gli autori dello studio pubblicato su Nature -. Inoltre sono sufficienti anche livelli bassi di adozione per ottenere benefici misurabili, a patto che si usino anche altri interventi come mascherine, distanziamento, risposta veloce ai test positivi”.

Ma il progetto dell’app italiana pare ormai abbandonato. “È un peccato, anche perché il lavoro è andato avanti: a gennaio è stato attivato un call center nazionale ed è possibile sbloccare i dati raccolti con un codice presente nei risultati positivi del test – commenta lo studioso -. Sono ancora convinto che l’app, se gliene daremo l’opportunità, potrà giocare un ruolo, tenendo conto che le app sono efficaci nel contenere focolai locali piuttosto che una trasmissione diffusa nella comunità. Sono speranzoso che ci sia la volontà di comunicare con confidenza che l’app può aiutare: il fatto di metterla nelle condizioni di poter dare il suo beneficio non dipende dall’app”.