Un gran polverone si è sollevato dopo che la Legge 20 novembre 2017, n. 167 – Legge europea 2017 ha introdotto un nuovo articolo nel Codice Privacy riguardante il riutilizzo dei dati personali per finalità di ricerca scientifica o per scopi statistici.
Il comma 2 dell’art. 28 della Legge europea aggiunge al Codice Privacy l’art. 110-bis:
«Art. 110-bis. (Riutilizzo dei dati per finalita’ di ricerca scientifica o per scopi statistici).
- Nell’ambito delle finalita’ di ricerca scientifica ovvero per scopi statistici puo’ essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
- Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza».
In un articolo di Alessandra Longo di ieri su Repubblica intitolato Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia, sono state sollevate molteplici e profonde perplessità su questa improvvisa apertura del nostro Legislatore. Remore che possono essere riassunte dalla dichiarazione – riportata nel medesimo articolo – dell’ex Presidente del Garante Franco Pizzetti:
“Tra qualche giorno sarà possibile dare, per scopi di ricerca scientifica o statistici, tutti i dati degli italiani, con la sola tutela di un’autorizzazione da parte del Garante Privacy prevista in modo troppo generico dalla norma. La norma non prevede infatti il diritto dell’utente a essere informato né ad accedere a questi dati. Vincola l’autorizzazione del Garante solo al fatto che i dati siano anonimizzati e che sia rispettato il principio di minimizzazione dell’utilizzo. Ossia che siano usati solo quelli che servono per quella ricerca scientifica”.
La nuova norma ha d’acchito ingenerato il timore che i dati (anche quelli sanitari) dei cittadini siano trasmessi o resi accessibili – senza che gli interessati possano opporvisi – a multinazionali che li usano per fini propri (traendone ingente profitto) e che possano essere oggetto di incursioni hacker che puntano a big data particolarmente preziosi quali quelli relativi alla salute di intere fette di popolazione.
D’altronde, ancora richeggiano le perplessità sul progetto Watson Health, ossia l’accordo tra Regione Lombardia ed IMB in base al quale il techno hub di “medicina difensiva” da 150 milioni di USD che IBM dovrebbe costruire nell’aera Expo di Milano alimenterà le proprie funzioni di intelligenza artificiale grazie alla “trasfusione” inaudita altera parte dei dati sanitari di 3 milioni di utenti lombardi (da anonimizzarsi, ma come?). Una “questione privacy” che è tuttora pendente e su cui il Garante deve ancora concludere istruttoria.
Oggi Repubblica torna sulla tematica, riportando – sempre a cura di Alessandra Longo – le dichiarazioni del Presidente del Garante Antonello Soro:
“Capisco le perplessità, ma mi sembra che siano presenti garanzie che, valorizzate opportunamente, potranno conciliare, da un lato, la ricerca scientifica e, dall’altro, proteggere il diritto alla riservatezza dei pazienti. L’ordinamento italiano ed europeo non impediscono il riuso dei dati per finalità di ricerca, ma lo condizionano a precise procedure di cautela sulla base di un puntuale bilanciamento tra il diritto alla privacy degli interessati e altre rilevanti finalità di interesse pubblico”.
“In questo senso, la legge europea mi pare che contenga almeno due indicazioni importanti. Innanzitutto, qualunque progetto di riutilizzo dei dati sulla salute, per ottenere il via libera del Garante dovrà dimostrare, preventivamente, l’esistenza di adeguate misure di protezione dei dati. Dovrà, in particolare, essere documentata l’adozione di accorgimenti idonei a ridurre ragionevolmente i rischi di re-identificazione degli interessati”.
“Per altro verso l’autorizzazione del Garante, per la quale è anche previsto il silenzio rigetto, rappresenta una cautela tutt’altro che generica. Spetterà infatti al Garante, non solo valutare la robustezza delle soluzioni adottate, ma anche stabilire misure necessarie a tutela dei pazienti, della sicurezza, della trasparenza del trattamento e dell’efficace esercizio dei diritti degli interessati”.
“Del resto, nell’attuale contesto tecnologico gli istituiti tradizionali di garanzia dell’informativa e del consenso rischiano di non essere più, da soli, strumenti efficaci di tutela per la privacy dei pazienti”.
Riguardo il progetto Watson, Soro precisa: “non entro nel merito del progetto Watson sul quale è in corso una seria interlocuzione con la Regione Lombardia e che al momento è ancora in una fase preliminare nella quale il Garante ha necessità di raccogliere precisi elementi di valutazione”.
Con riferimento alle difficoltà tecniche e non delle procedure di anonimizzazione dei dati, Soro afferma: “Certo un’efficace anonimizzazione dei dati dipende non solo dalle robustezza delle tecniche utilizzate, ma anche dalla granularità delle informazioni, dall’ulteriore utilizzo che ne posso fare e dalle tecnologie disponibili al momento del trattamento. Per questo è necessaria una valutazione caso per caso che preveda adeguate garanzie volte a scongiurare eventuali successive operazioni di re-identificazione. L’adozione di queste cautele dovrebbe essere in capo al titolare del trattamento e non agli eventuali soggetti terzi riutilizzatori dei dati“.
“L’anonimizzazione è una dimensione non statica, ma dinamica dei dati: alcuni set di dati possono sembrare all’origine apparentemente aggregati e anonimi, ma ad una valutazione più approfondita rivelarsi tali da poter rendere poi re-identificabili gli interessati: ad esempio, se in un secondo momento vengono incrociati con altre banche dati con informazioni di dettaglio riferite agli stessi interessati oppure trattati con tecniche di re-identificazione non prevedibili all’origine. Per questo è necessario essere molto cauti quando si parla di rendere pubblici interi set di dati, anche se anonimizzati“.
La sensazione generale che si trae dal dibattito che si è venuto a creare su Repubblica è che – comunque la si pensi a riguardo di questi temi – la norma contenuta nella Legge europea sia stata (forse sotto le pressioni delle multinazionali?) emanata in assenza di un quadro regolamentare ben definito. Sembra il classico passo più lungo della gamba.
Il rischio è che il compito di tutelare i dati dei cittadini ricada interamente sulle spalle del Garante in un periodo che lo vedrà già strenuamente impegnato dalle attività riconnesse alla prossima introduzione del Regolamento europeo Generale sulla Protezione dei Dati – GDPR.