g-docweb-display Portlet

Sicurezza del dato sanitario e condivisione - Intervento di Pasquale Stanzione - Panorama

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Sicurezza del dato sanitario e condivisione
Intervento di Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali
(Panorama, 18 febbraio 2022)

La pandemia ha dimostrato, emblematicamente, quanto stretto possa essere il legame tra salute (anche nella sua declinazione metaindividuale di sanità pubblica), privacy e digitale. Se il distanziamento fisico non è divenuto anche sociale lo dobbiamo, infatti, alla "potenza geometrica delle nuove tecnologie che hanno consentito di ricreare nello spazio virtuale persino il più fisico dei rapporti, ovvero quello tra medico e paziente, grazie alla telemedicina, ai consulti on-line, all'intelligenza artificiale, all'e-health più in generale.

Nulla più della pandemia ha reso, dunque, evidente la duplice dimensione del diritto alla salute, quale prerogativa individuale ma anche interesse collettivo, da salvaguardare anche mediante un flusso informatico costante e capillare sulla condizione epidemica di ciascuno. Emerge, dunque, in maniera quantomai inequivoca la tensione che caratterizza i dati sanitari, meritevoli da un lato della massima protezione e riservatezza e, dall'altro, di una (sia pur circoscritta e calibrata) circolazione per esigenze di sanità pubblica.

Questa particolare tipologia di dati rappresenta, infatti, un prezioso strumento di garanzia del diritto alla salute e alle cure (che, con lungimirante affermazione, la nostra Costituzione assicura anche "agli indigenti"), anche nella componente solidaristica della destinazione a fini di ricerca ma, al tempo stesso, prezioso frammento della vita più personale ed intima di ciascuno, da proteggere da indebite ingerenze e strumentalizzazioni. Non a caso, come ricordava Stefano Rodotà, tra le prime norme dell'ordinamento sulla riservatezza si annoverano proprio quelle inerenti i dati sanitari, da proteggere per evitare le fughe dalla diagnosi e dalla terapia, così da costruire, sulla base dell'affidamento riposto nel segreto professionale, quel rapporto strettamente fiduciario tra medico e paziente che costituisce l'architrave della disciplina odierna e della giurisprudenza sull'autodeterminazione terapeutica. E questo, proprio per la natura assolutamente peculiare dei dati sanitari: ipersensibili, avremmo detto fino a pochi anni fa, perché espressivi della più autentica essenza della privatezza: del corpo, delle sue patologie, delle sue carenze, delle sue irregolarità e per questo suscettibili di esporre il singolo alle più meschine discriminazioni, stigmatizzazioni, classificazioni. Non a caso, i dati sanitari sono tra quelli che beneficiano della maggiore tutela accordata dall'ordinamento: misure di garanzia rafforzate, presupposti di liceità del trattamento particolarmente stringenti, declinazione più tassativa del canonedi proporzionalità, pari rango quale criterio rigoroso di legittimazione dell'accesso anche soltanto documentale, stretta indispensabilità a fini informativi quale parametro di ammissibilità della comunicazione giornalistica, divieto di divulgazione. Quest'ultimo divieto, in particolare, ha addirittura fondato un'interpretazione adeguatrice della disciplina della pubblicità delle sentenze, che ha incluso tra i casi di oscuramento obbligatorio anche quelli caratterizzati dalla presenza, appunto, di dati sulla salute, nonostante il silenzio del legislatore sul punto. L'esigenza di riservatezza dei dati sanitari, dunque, è stata affermata con forza tale da vincere persino il principio di pubblicità delle sentenze e dei giudizi, che come noto costituisce un presidio di democraticità degli ordinamenti liberali, una volta affrancatisi dal paradosso del giudizio segreto e della pena pubblica perché spettacolarizzata.

Ma i dati sanitari esigono protezione e sicurezza anche sotto un ulteriore - e duplice - profilo. Da un lato, infatti, essi necessitano di una tutela rafforzata rispetto ai rischi di accesso indebito, alterazione, manipolazione, connessi ad attacchi cibernetici sempre più spesso diretti a sistemi informativi sanitari, proprio in ragione del pregiudizio esponenziale derivante dalla paralisi dei servizi sanitari. Per altro verso, i dati sanitari necessitano di protezione anche in termini di esattezza e qualità che il loro trattamento deve assicurare, anzitutto per ridurre il rischio clinico. Laddove, infatti, in sede diagnostica siano utilizzati dati inesatti, le probabilità di errori aumentano notevolmente, esponendo il paziente a pericoli considerevoli. Questo vale anche rispetto all'utilizzo di strumenti diagnostici fondati-come sempre più spesso accade - sull'Intelligenza artificiale. Se, infatti, le serie statistiche o i dati empirici con i quali gli algoritmi sono allenati sono scorrette, anche il risultato del processo algoritmico, su cui si fonda (a volte addirittura integralmente) la diagnosi, può risultare errata, con effetti anche potenzialmente fatali per il paziente.

La qualità ed esattezza dei dati (principi essenziali del Gdpr) sono, in questo senso, un presupposto di efficacia della big data analytics, soprattutto in un settore così delicato come quello sanitario. Ciò implica anche la necessità di evitare possibili - per quanto, pure, involontarie - forme di discriminazione (anche, appunto, algoritmica) nel patrimonio informativo utilizzato per il machine learning.

Il caso dell'algoritmo per la diagnosi dei tumori cutanei utilizzato in alcuni centri sanitari (in particolare americani) è, in questo senso, significativo: in quanto allenato a riconoscere per la stragrande maggioranza dati relativi a bianchi, esso ha clamorosamente fallito rispetto a pazienti afroamericani, per la sottorappresentazione, fornita all'algoritmo, dei dati riferibili a questa quota della popolazione.

Sotto tale profilo, il Gdpr offre importanti garanzie, delineando il primo essenziale statuto giuridico dell'i.a., fondato sui principi di non esclusività della decisione algoritmica (derogabile solo in presenza di garanzie significative), comprensibilità (e dunque anche sindacabilità) e non discriminazione. Ulteriori sviluppi di questi principi sono poi contemplati dall'Artificial Intelligence Act, nella direzione di una complessiva accountability dei sistemi d'i.a. ...e opportunità di condivisione

Ma i dati sanitari manifestano, oltre alla descritta esigenza di protezione, anche una parallela tendenza alla condivisione, in un significato molteplice che si tenterà di esporre. Una particolare accezione, quasi strutturale, della tendenza alla condivisione del dato sanitario è stata evidenziata recentemente dalla Cassazione, secondo cui la tutela accordata al dato relativo alla patologia di un minore non può non estendersi ai genitori. Essa rappresenta, infatti, una vulnerabilità non Limitabile al singolo, ma estesa al gruppo (non necessariamente di sangue ma, certo, di affetti) che di quella malattia si faccia carico. Non si tratta della condivisione, su base genetica, di un dato clínico ma, piuttosto, della compartecipazionediuna pluralità di soggetti a una condizione di fragilità, da proteggere da indebite ingerenze.

Ma la necessaria condivisione del dato sanitario assume anche un'altra valenza: quella della funzionalità alle esigenze di sanità pubblica, che implicano ad esempio la conoscenza, da parte delle autorità preposte; della malattia trasmissibile da cui si sia affetti, per adottare le misure conseguenti. Ciò che in questi casi va garantito - come la pandemia ha dimostrato in maniera inequivoca - è la limitazione del flusso informativo tanto sotto il profilo soggettivo (con riguardo, cioè, ai soli titolari di funzioni che implichino la conoscenza dei dati in questione), quanto sotto quello oggettivo (in relazione ai soli dati indispensabili all'adozione delle misure necessarie a tutela della sanità pubblica).

Non si tratta in altri termini di legittimare la gogna nei confronti di quanti siano affetti da determinate malattie trasmissibili, ma di consentire una circolazione del dato sanitario strettamente proporzionale e non eccedente le esigenze di prevenzione dei contagi, limitata comunque ai soli soggetti legittimati in ragione delle funzioni svolte.

La condivisione del dato sanitario riguarda, infine, anche un altro aspetto: la ricerca, il cui sviluppo necessita di dati clinici, esperienziali e sperimentali, deprivati certamente delle componenti identificative ma pur sempre tratti da casi concreti e inseriti, quindi, in studi specifici. L'esigenza emergente in tal caso attiene alla possibilità di utilizzo dell'informazione tratta dal dato sanitario (un vero e proprio bene comune per la comunità scientifica), pur con modalità tali da de-soggettivizzarlo completamente. In tal modo il paziente non è strumentalizzato, attraverso i suoi dati, per fini che lo trascendano, ma al contempo la comunità scientifica non viene comunque privata della risorsa rappresentata da dati clinici, suscettibili di utilizzo nell'ambito della ricerca.

Il Gdpr prevede un significativo favor per la ricerca, nella misura in cui ammette, per questi trattamenti, la possibilità di assumere diverse basi giuridiche anche ulteriori rispetto al consenso nella consapevolezza dei limiti che lo caratterizzano in un simile contesto e l'ammissibilità di esenzione del titolare da alcuni obblighi informativi, ove sproporzionati. Sono significative anche l'ammissibilità di una conservazione dei dati per periodi superiori a quelli strettamente necessari alla realizzazione dei fini perseguiti, se trattati esclusivamente per fini di ricerca scientifica e la presunzione di compatibilita dell'uso secondario dei dati nel caso di trattamento per fini di ricerca scientifica, purché in presenza di garanzie adeguate.

È infine rilevante l'esclusione del diritto di opposizione dell'interessato nel caso di trattamento per fini di ricerca in esecuzione di un compito di interesse pubblico. In linea generale, dunque, il Regolamento bilancia la deroga ad alcuni diritti dell'interessato o la perdita del controllo individuale (dovuta all'ammissione di basi giuridiche alternative al consenso), con specifiche salvaguardie come garanzie ulteriori (valorizzate dall'art. 2-septies del nostro Codice e dalle regole deontologiche per la ricerca) o la previsione, comunque, di particolari cautele normative ove la base giuridica sia l'interesse pubblico.

Ecco, dunque, che la polivalenza del dato sanitario si palesa in tutta la sua complessità ma anche in tutta la sua ricchezza e potenzialità, che la tecnica può valorizzare ma anche violare, se non ben governata.

La digitalizzazione della sanità è, in questo senso, una straordinaria occasione di sviluppo, innovazione, competitività, da promuovere per l'efficienza e universalità delle cure e per una migliore programmazione della spesa sanitaria. Tuttavia, la sanità digitale va realizzata all'interno di un progetto organico e lungimirante di governance sanitaria, che minimizzi i rischi cibernetici e promuova una condivisione selettiva dei dati, a fini di promozione della ricerca, ma con le dovute cautele per evitare ogni possibile reidentificazione degli interessati. La disciplina privacy ben può rappresentare il baricentro attorno a cui possa orientarsi un governo lungimirante delle informazioni sanitarie e, dunque, un progetto di politiche pubbliche capace di valorizzare la salute come diritto fondamentale del singolo ma anche, appunto, interesse della collettività, con le garanzie necessarie per assicurare quel "rispetto della persona umana" imposto dall'art. 32 Cost.. Si tratta di garanzie tanto più rilevanti in quanto, sulla sinergia tra salute. innovazione e privacy si giocherà una sfida sempre più determinante per le nostre società, che dobbiamo impegnarci a vincere nel segno, ancora una volta, della centralità della persona e della sua dignità.