Google sta testando un servizio che le consentirà di analizzare i dati sulla salute dei pazienti di Ascension, il più grande “sistema” sanitario no profit negli Stati Uniti che assite oltre 50 milioni di americani sparsi in 21 stati. Lunedì scorso è stato il Wall Street Journal a rivelare la notizia dell’esistenza di un progetto di cui in pochi erano a conoscenza e che ora desta preoccupazione, al punto che le autorità federali avrebbero avviato indagini per approfondirne le portata ed appurarne la liceità.

Denominato “Nightingale”, il progetto – che sarebbe partito nel febbraio scorso – prevede l’impiego della tecnologia di ricerca e intelligenza artificiale di Big G per ottimizzare le prestazioni sanitarie della committente. Nelle sue linee salienti, il piano comporta che Ascension trasferisca tutti i record dei pazienti sui server Google Cloud ove, grazie al toolkit di G Suite, saranno più agevolemente consultabili, analizzabili e condivisibili. Tra le altre, viene resa disponibile una funzionalità di ricerca che consente agli operatori sanitari di accedere una “pagina panoramica” per ciascun paziente (nominalmente identificato) che includerebbe – stando a documenti di cui Forbes è entrato in possesso – informazioni complete sull’assistito: problemi di salute, referti, immagini diagnostiche, terapie e farmaci assunti o prescritti, parametri vitali rilevati e altro ancora.

Il problema è che i milioni di pazienti di Ascension non sono a conoscenza del fatto che anche Google ha o avrà accesso ai loro dati. E’ doveroso precisare che – a differenza del “nostro” GDPR che non ammette deroghe in tema di trasparenza delle informazioni da rendere agli interessati – la normativa statunitense sulla privacy dei pazienti (contenuta nello Health Insurance Portability and Accountability Act del 1996 – HIPAA) in via di principio consente alle strutture sanitarie di condividere con terze parti i dati dei pazienti se le Protected Health Information (PHI) condivise sono utilizzate con il solo scopo di “aiutare ad erogare le funzioni e le prestazioni sanitarie”. Ciò detto, le autorità federali vogliono comunque vederci chiaro, presumibilmente per comprendere se Google abbia o meno la possibilità di utilizzare quei dati oltre il mandato di Ascension. Alcuni dipendenti del gruppo sanitario avrebbero già sollevato preoccupazioni in proposito.

In una nota sul proprio sito, Ascension ha affermato che la partnership instaurata con Google in relazione al progetto “è conforme alla normativa HIPAA ed è sostenuta da un solido impegno in termini di sicurezza e protezione dei dati”. Prontamente le ha fatto eco Google che, con un post sul proprio blog, ha affermato che “i dati dei pazienti non possono e non saranno combinati con eventuali dati degli utenti di Google”, che solo pochi addetti autorizzati da Ascension avranno accesso tecnico ai dati e che sono adottate stringenti misure di sicurezza.

Pur a fronte di tali rassicurazioni, non sfugge che alcune potenziali problematiche meriterebbero approfondimento. Ad esempio, si ponga che, al di là degli specifici addetti autorizzati da Ascension, interi dipartimenti di Google possano accedere ai dati di pazienti de-identificati o pseudonimizzati per proprie finalità di ricerca e sviluppo (magari per sviluppare soluzioni basate intelligenza artificiale, big data e algoritmi machine learning): siamo sicuri che tali dipartimenti non potrebbero in un attimo risalire all’identità del paziente, semplicemente incrociando le informaizoni (comunque univoche) relative ai pazienti Ascension con le altre miriadi di data point che il colosso di Mountain View già possiede su ciascun individuo? Se una persona si appropinqua (consultando Google Maps) all’indirizzo di un centro medico ove ha appuntamento (confermato via Gmail ed appuntato su Google Calendar) per eseguire una risonanza magnetica alle 10.30 del giorno x, Google ha già “incorporato” tracce sufficienti per determinare che l’immagine diagnostica detenuta per conto di Ascension prodotta alla stessa ora e nello stesso posto sia riferibile ad un paziente ben identificato. Quali garanzie impediscono realmente a Google di incrociare tutti questi dati?

Molte big tech – tra cui Microsoft, Amazon, Google e Salesforce – negli ultimi anni stanno sviluppando tecnologie e servizi per l’innovazione comparto sanitario, un business da miliardi di dollari. Tra le priorità, c’è sicuramente quella apportare soluzioni di digital tranformation per la compilazione, la consultazione, la condivisione e lo storage dei referti e delle cartelle cliniche: diversi studi hanno dimostrato che i medici dedicano più tempo all’interazione con la documentazione che a quella coi i pazienti. Le piattaforme cloud sono il main product in grado di veicolare soluzioni e servizi innovativi per l’assistenza sanitaria; e Google Cloud, che genera 8 miliardi di dollari di fatturato l’anno, è già ben presente nel settore ed intende divenire leader dei servizi AI per la sanità (l’anno passato è stato assunto appositamente un manager che avrà il compito di sviluppare quest’area commerciale).

Di recente Google ha annunciato il piano per l’acquisizione al prezzo di 2,1 miliardi di Fitbit (noto produttore di dispositivi indossabili per il monitoraggio di fitness e salute) da parte della propria holding Alphabet. Una mossa che molti hanno percepito come inquietante. Nel giorno stesso dell’annuncio, il senatore della Virgina Mark Warner si era detto gravemente preoccupato, chiedendo che “si obblighino le grandi aziende tecnologiche a spiegare come utilizzano i dati che ottengono tramite prodotti e dispositivi sanitari”. Contestualmente, il Presidente del Garante Privacy Soro esponeva i suoi timori affermando che “L’acquisizione di Fitbit da parte di Google contribuirà alla concentrazione di informazioni personali degli utenti nelle mani di pochi colossi del web, con conseguenze negative anche per le istituzioni democratiche”.

A tal proposito, oggi Google ha comunicato una nuova iniziativa che potrebbe rivelarsi, come si suol dire, disruptive in un altro comparto ad altro impatto privacy: annunciando il varo del progetto “Cache”, Big G ha resa nota l’intenzione  di lanciare entro l’anno prossimo un servizio bancario che darà ai propri clienti la possibilità di aprire un conto corrente. Google si unisce così agli altri big player della Silicon Valley (si pensi alle recenti iniziative Facebook Libra, Apple Card e Uber Money) che vedono nel settore finanziario un nuovo, ulteriore, El Dorado.