Vi presentiamo la versione integrale dell’intervista rilasciata dall’avv. Andrea Lisi al quotidiano indipendente “La Verità”, diretto da Maurizio Belpietro, sul tema della sicurezza dei dati gestiti dalle multinazionali del settore sanitario.
L’intervista è stata realizzata da Antonio di Francesco e Antonio Grizzuti e potete consultare l’estratto pubblicato sul numero n.179 di lunedì 1 luglio, al seguente link
- Quali sono le norme di riferimento che regolano la cessione di dati a terzi da parte delle aziende sanitarie?
La fonte normativa primaria, in materia di trattamento dei dati personali, è il GDPR (General Data Protection Regulation – Reg. UE 2016/679),dal quale si ricavano i principi e le norme più generali che regolano il trattamento ulteriore, a fini di ricerca scientifica o a fini statistici, di dati personali inizialmente raccolti per altri scopi, indipendentemente dal fatto che il trattamento sia effettuato dal medesimo titolare (come nel caso di cui si discute dell’azienda sanitaria) o da terzi. A livello nazionale, il Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003), recentemente riformato in adeguamento al GDPR, regola specificamente nell’articolo 110-bis il trattamento ulteriore, da parte di terzi, dei dati personali a fini di ricerca scientifica o a fini statistici, inclusi i dati relativi alla salute o, comunque, all’attività di assistenza sanitaria.
- A chi un’azienda sanitaria può cedere i suoi dati? Per quali finalità?
Se parliamo di dati personali, ossia di informazioni riguardanti una persona fisica identificata o identificabile, l’ambito di circolazione degli stessi deve essere rigorosamente limitato ai casi in cui la comunicazione sia necessaria per lo svolgimento delle prestazioni sanitarie (e in favore di soggetti assumono il ruolo di Responsabili del trattamento e ai quali devono essere impartite specifiche istruzioni da parte del Titolare), o qualora la cessione sia autorizzata da specifiche norme di legge. I dati relativi alla salute trattati da un’azienda sanitaria, come previsto dal GDPR al considerando 54, non dovrebbero, invece, essere assolutamente ceduti e trattati per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito.
- Può un’azienda sanitaria cedere dati a una multinazionale che fa ricerche di mercato e non ricerche scientifiche o statistiche?
Il prima citato art. 110 bis del Codice prevede la possibilità di trattamento ulteriore dei dati personali a fini di ricerca scientifica o a fini statistici, solo da parte di soggetti terzi che svolgano principalmente tali attività e a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati e previa autorizzazione del Garante. Questa norma, singolarmente approvata prima di intraprendere l’iter di adeguamento del Codice al GDPR, in prossimità dell’accordo – poi bloccato – tra il governo Renzi e Ibm per l’utilizzo dei dati sanitari dei cittadini italiani in cambio dell’apertura a Milano del centro Watson Health, ha sollevato sin dall’indomani della sua entrata in vigore non pochi dubbi interpretativi. E, benché la norma sia stata riformulata, continua tuttora ad apparire poco chiara la ratio che la sorregge. Se, infatti, i dati devono essere previamente anonimizzati non si comprende che senso abbia prevedere l’autorizzazione del Garante, visto che tali dati non dovrebbero essere più riconducibili ai singoli interessati (e quindi potenzialmente lesivi per i diritti fondamentali degli stessi). Sembra quasi una excusatio non petita accusatio manifesta.
Resta imprecisato, poi, il momento in cui debba essere eseguita l’anonimizzazione di questi dati, se ex ante o ex post rispetto all’autorizzazione del Garante. Non da ultimo, non è chiaro chi sia il soggetto sotto la cui responsabilità ricada l’onere di anonimizzazione di tali dati, se della struttura cedente (che potrebbe essere un’azienda sanitaria) o di una multinazionale che svolge, in via principale attività di ricerca scientifica o statistica.
- E se può, deve l’azienda sanitaria informare i pazienti? Può il paziente opporsi a una eventuale cessione di dati, ancorché anonimizzati?
L’azienda sanitaria, quale titolare del trattamento, è certamente obbligata a rendere noti ai pazienti, interessati al trattamento, i destinatari o le categorie di destinatari ai quali i dati personali saranno comunicati. Tale obbligo, però, si configura quando la comunicazione abbia ad oggetto dati personali, nell’accezione prima ricordata. Qualora, invece, il dato sia reso anonimo, in modo da non essere assolutamente riconducibile a una persona fisica identificata o identificabile, l’obbligo di rendere l’informativa verrebbe meno. Questo significa, logicamente, che il paziente non avrebbe la possibilità di opporsi a una cessione di cui non è al corrente. Anche su questo comunque l’art. 110-bis rimane ambiguo nella sua formulazione legando la già citata autorizzazione del Garante a una impossibilità o imprecisato sforzo sproporzionato di rendere l’informativa da parte di questi soggetti terzi.
- Le aziende sanitarie giustificano le convenzioni con le multinazionali affermando che i dati sono anonimizzati e in alcun modo riconducibili a persone identificabili. È proprio così? Ci sono dei rischi connessi alla cessione di dati?
Il considerando 26 del GDPR indica che, per l’identificabilità di una persona, si tengano in considerazione “tutti i mezzi” di cui il Titolare può ragionevolmente avvalersi.
Nel caso dei trattamenti svolti per fini statistici, come più volte ribadito dal Garante, un interessato si ritiene identificabile quando, con l’impiego di mezzi ragionevoli, è possibile stabilire un’associazione tra una o più unità statistica e i dati che identificano il soggetto a cui si riferisce. Nel caso in cui i risultati statistici siano relativi a una popolazione ristretta e a un ambito territoriale limitato (come, ad esempio, i pazienti di un distretto sanitario) non è possibile escludere la possibilità di risalire all’identità degli interessati, tramite il raffronto e la correlazione con altre fonti di informazione. La disponibilità di sistemi di intelligenza artificiale sempre più sofisticati, associati a sistemi automatizzati di elaborazione e profilazione sempre più penetranti, rende oggi questa possibilità sempre più realizzabile. E il fatto più allarmante è che non è necessario addentrarsi nei meandri del deep web per ricavare informazioni da dare in pasto ai software di analisi automatizzata. Spesso è sufficiente (e, oltretutto, più facile e formalmente lecito) avvalersi delle smisurate “banche dati” di Facebook, dei dati di geolocalizzazione di Google e/o dei registri delle conversazioni scambiate con Alexa. Tutto oggi è facilmente e potenzialmente disponibile per profilare anche le nostre più intime abitudini.
- Chi controlla sull’effettiva anonimizzazione dei dati prima del trasferimento?
Come già riferito, il legislatore nazionale è stato ambiguo ed evanescente su una questione così delicata, che invece meriterebbe provvedimenti specifici e rigorosi.
- È percorribile l’ipotesi che i dati acquistati da queste multinazionali vengano rivenduti alle case farmaceutiche?
In mancanza di specifiche garanzie contrattuali imposte alle società che acquisiscono i dati, non si può escludere che gli stessi dati solo teoricamente anonimizzati ed eventualmente rielaborati tramite strumenti di profilazione, siano ceduti alle case farmaceutiche (e potrebbero essere interessati in tal senso tanti altri, come compagnie di assicurazione, datori di lavoro, società finanziarie…). Naturalmente, ove non siano rispettati con il massimo rigore gli obblighi di corretto trattamento dei dati personali, adottando le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati, la comunicazione sarebbe illecita. Per questo, è essenziale svolgere controlli estesi e penetranti nei confronti delle grandi multinazionali, pretendendo che siano rese trasparenti le loro politiche di profilazione, troppo spesso striscianti e fuori controllo e ponendo un argine al commercio di dati, anche delicatissimi come quelli relativi alla salute. Magari, evitando di introdurre norme ambigue e sostanzialmente prive di utilità … se non per altro genere di interessi.