La Corte di Cassazione con ordinanza 6177/2023 ha recentemente annullato l’ingiunzione Garante Privacy n. 492 del 29 novembre 2018 emanata contro l’INPS.
Seppure la questione riguardi il trattamento dei dati nell’ambito giuslavoristico in applicazione del previgente Codice Privacy, i principi di diritto affermati dalla Suprema Corte appaiono di assoluto rilievo anche per l’area sanitaria, specie per quanto attiene all’utilizzo di sistemi di intelligenza artificiale.
Più diseguaglianze in sanità con l’intelligenza artificiale? Le sfide
Si procederà pertanto ad analizzare sinteticamente gli step della procedura contro l’INPS e le argomentazioni della Corte, per poi analizzare come le stesse possono trovare applicazioni in sanità.
La procedura contro l’Inps
In data 29 novembre 2018 con provvedimento n. 429 il Garante Privacy infliggeva all’INPS la sanzione amministrativa di 40.000 euro per violazione degli artt. 13,20 e 37 D.lgs. 30 giugno 2003 n.196 (versione previgente al D.Lgs. 101/2018) in relazione all’impiego del software di intelligenza artificiale denominato “Data Mining Savio” che a attribuendo in modo automatico un punteggio/ score ai certificati medici prodotti dai lavoratori, così da indirizzare in modo mirato e più efficiente il sistema dei controlli medico-legali.
Più esattamente il Garante sosteneva che non era stata acquisito il consenso (necessario trattandosi di dati personali relativi allo stato di salute dei lavoratori) e che non era stata effettuata nessuna notifica (ex art. 37 Cod. priv. previgente) per l’utilizzo del software sopra citato che invece effettuava una profilazione.
L’ordinanza ingiunzione veniva impugnata davanti al Tribunale di Roma che con sentenza 3 marzo 2020 n. 4609, respingeva il ricorso dell’INPS.
Tale sentenza veniva impugnata davanti alla Cassazione che, rovesciando invece la posizione del Garante Privacy e del Tribunale, accoglieva il ricorso dell’INPS.
Due in particolare sono gli aspetti di rilievo analizzati dalla Cassazione: la nozione di “necessità” del trattamento e l’ambito di applicazione della disciplina della profilazione.
Vediamoli separatamente.
La nozione di “necessità del trattamento”
In vigenza del precedente Codice Privacy l’art. 24 stabiliva i casi in cui i dati potevano essere trattati senza consenso: nello specifico lo stesso art. 24 al comma 1 lett. a) introduceva, tra tali casi, il trattamento
a) … necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
Dato per assunto che il trattamento veniva svolto nell’ambito di una attività istituzionale dell’INPS, la Cassazione si addentra allora in un ragionamento molto più sottile e raffinato, chiedendosi se la decisione della pubblica amministrazione si volgere i propri compiti istituzionali tramite un software di intelligenza artificiale possa farsi rientrare nella nozione giuridica di “necessità” del trattamento.
Su questo punto la Cassazione afferma i seguenti rilevanti principi:
- Il diritto di esigere una corretta gestione dei propri dati personali, “pur se rientrante nei diritti fondamentali di cui alla Cost., art. 2, non è un “tiranno” o un “totem”, al quale debbano sempre sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale: al contrario, le regole sulla tutela dei dati sensibili vanno coordinate e bilanciate con le disposizioni costituzionali che tutelano altri e prevalenti diritti, per quanto ora rileva l’interesse pubblico alla celerità” (già i questo senso Cass. Civ20 maggio 2015, n. 10280).
La Cassazione sul punto richiama anche la sentenza della Corte di Giustizia. Ue 20 maggio 2003, C-465/00, Rechnungshof nella quale si afferma che “la deroga al divieto di trattamento di dati personali senza il consenso dell’ interessato è legittima, se finalizzata a perseguire interessi pubblici “proporzionati” e “necessari” rispetto al sacrificio imposto al diritto alla riservatezza, e che tale conclusione è coerente sia con la direttiva 95/46/Ce, sia con l’art. 8, comma 2, Cedu, che prevede come i diritti dei singoli (alla riservatezza) posano essere sacrificati a fronte degli interessi “al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”
- L’utilizzo poi da parte di una PA di un software per il raggiungimento dei propri scopi istituzionali non solo è ammesso dall’ordinamento nazione e comunitario, ma è oggi considerato uno strumento per promuovere e proteggere gli interessi sociali nonché per aumentare l’efficienza della PA
Sul punto, in ambito comunitario la Corte di Giustizia nella sentenza 21 giugno 2022, C-817/19, Ligue des droits humains c. Conseil des ministres, ha affermato che “Gli algoritmi, l’analisi dei big data e l’ intelligenza artificiale utilizzati dalle autorità pubbliche possono servire a promuovere e a proteggere gli interessi fondamentali della società, con un’efficacia in precedenza inimmaginabile: dalla protezione della sanità pubblica alla sostenibilità ambientale, dalla lotta contro il terrorismo alla prevenzione dei reati, in particolare dei reati gravi”,
Il quadro giuridico nazionale, peraltro, sta spingendo verso la digitalizzazione della PA, attraverso il nostro Codice dell’Amministrazione Digitale (D.Lgs. 7 marzo 2005, n. 82) che mira ad incrementare i “beni” della celerità, efficienza, trasparenza, imparzialità e neutralità della PA (dunque il “buon andamento” ex art. 97 Cost), avvalorata altresì dalla giurisprudenza che ha già ritenuto lecito l’utilizzo di un algoritmo nell’attività amministrativa connotata da discrezionalità per raggiungere la decisione finale (Cons. Stato, sez. VI, 13 dicembre 2019, n. 8472; Cons. Stato, sez. VI, 8 aprile 2019, n. 2270), affermando in particolare che in “molti campi gli algoritmi promettono di diventare lo strumento attraverso il quale correggere le storture e le imperfezioni che caratterizzano tipicamente i processi cognitivi e le scelte compiute dagli esseri umani” (Cons. Stato 13 dicembre 2019, n. 8472, cit.).
Alla luce delle argomentazioni di cui sopra la Cassazione ha dunque confermato la piena liceità dell’utilizzo da parte dell’INPS del software Data Mining Savio senza alcuna necessità del consenso: ciò in quanto la decisione della PA di informatizzare un processo che trova base giuridica in un compito istituzionale può legittimamente farsi rientrare nella nozione di “necessità” di un trattamento a cui è tenuta la PA.
In altre parole la “necessità” non è giuridica, ma organizzativa.
Più esattamente così si legge in sentenza “il ricorso all’algoritmo va correttamente inquadrato in termini di modulo organizzativo, interamente svolto all’epoca in forza della legislazione attributiva del potere e delle finalità assegnate all’organo pubblico titolare del potere”.
L’ambito di applicazione della disciplina della profilazione (intelligenza artificiale)
Il secondo punto è altrettanto interessante. Forse anche di più se pensiamo all’utilizzo futuro dei sistemi di Intelligenza Artificiale.
Sia il Garante Privacy che il Tribunale di Roma hanno infatti ritenuto che il trattamento dei dati effettuato dal software Data Mining comportasse una “profilazione” e che l’INPS non avesse effettuato la notifica al Garante (ex art. 37 Cod. Privacy previgente).
Sul punto la Cassazione precisa che nel caso specifico non si tratta di “profilazione” (precisando che non lo sarebbe stato neppure in vigenza del GDPR e c he quindi non avrebbe dovuto trovare applicazione l’art. 22 GDPR).
Infatti il sistema Data Mining Savio, pur assegnato alla domanda presentata un indice/score collegato a determinate variabili quali la durata della prognosi, il luogo di provenienza del certificato, il numero di questi, il settore produttivo, l’età etc., non permetteva di predisporre categorie di profili entro cui inquadrare i singoli lavoratori, assegnando solo un dato indice – giorno per giorno – alle domande di prestazione previdenziale.
Così si legge in sentenza: il sistema “…attribuiva al certificato medico, riferito al lavoratore, un cosiddetto score di probabilità, ma senza affatto che ad ogni singolo lavoratore fosse stata attribuita una data categoria: infatti, non vi erano dei “profili”, tali da caratterizzare una categoria di persone o da applicare ad una data persona”.
Invero, l’attività non si è risolta nel comportare che, ad esempio, un dato lavoratore, in ipotesi individuato dal sistema come disonesto, subisse sempre le visite di controllo, una volta emerso essere soggetto a rischio: al contrario, non è quanto avveniva, come è incontestato, nel caso concreto, dove ogni domanda di prestazione riceveva una valutazione del tutto svincolata dalle precedenti, nè i lavoratori erano inquadrai in categorie profilate; e neppure era valutata in alcun modo la personalità̀ dei singoli lavoratori, ma solo elementi afferenti le certificazioni mediche inviate.
In sostanza c’era effettivamente una “profilazione”, ma solo delle domande di prestazione previdenziale, non dei singoli lavoratori.
In ragioni delle argomentazioni di cui sopra, la Cassazione ha annullato l’ordinanza-ingiunzione del Garante Privacy.
Considerazioni in ambito sanitario
La sentenza afferma una serie di principi di assoluta rilevanza anche in ambito sanitario. L’art. 9 lett. h) del GDPR stabilisce infatti una specifica base giuridica per il trattamento di particolari categorie di dati (tra cui quelli sanitari) quando “il trattamento è necessario per finalità di …, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”.
La domanda da porsi è allora questa: quando il trattamento in ambito sanitario svolto da una pubblica amministrazione (una Asl o da una AO) può farsi rientrare nella nozione di “necessario”?
In altre parole: quali processi di trattamento clinico possono trovare la loro base giuridica nell’art. 9 lett. h)?
Sul punto la posizione che il Garante ha assunto nel provvedimento n. 55 del 7 marzo 2019 – Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario è strettissima: praticamente si afferma che solo l’atto clinico rientra nell’ambito di applicazione dell’art. 9 lett. h), mentre tutti gli ulteriori processi di trattamento dati in ambito sanitario più complessi ed articolati, anche se valutati dalla PA come “clinicamente necessari”, non rientrerebbero nella nozione di “trattamento necessario” ex GDPR.
Un esempio per tutti il Dossier Sanitario, per il quale il Garante continua a richiedere il consenso ad hoc sulla base di Linee Guida del 2015 (un esempio per tutti l’Ordinanza-Ingiunzione Garante n. 371 del 10 novembre 2022 contro la Valle d’Aosta).
Il problema è destinato poi ad allargarsi (e a scoppiare) in vista dello sviluppo della digitalizzazione della sanità supportata economicamente dal PNRR.
Solo un esempio: la piattaforma nazionale di telemedicina, il cui bando di gara promosso da Agenas è già stato aggiudicato.
Come pensiamo possibile gestire una piattaforma nazionale che consenta la fruizione da parte del cittadino di diverse funzionalità informatiche (anche nell’ambito dell’assistenza domiciliare di cui al DM 77/22) se non cominciamo a pensare che il “trattamento dei dati” in sanità deve essere collegato al “trattamento clinico” e che quindi, viceversa, la necessità clinica non può non essere collegata alla nozione di “necessità” di cui all’art. 9 lett. h) GDPR?
Conclusioni
Forse la sentenza della Suprema Corte e le considerazioni giuridiche in essa svolte possono essere un punto di inizio per aprire il dibattito – serio – sul trattamento dei dati in sanità.
Analoghe considerazioni – seppur con taglio diverso – sull’Intelligenza Artificiale. Senza entrare in questa sede sulla nozione giuridica di software di AI (per la quale è ancora aperto il dibattito in sede europea nell’ambito della proposta di regolamento di AI), è innegabile che in sanità l’utilizzo di software “avanzati” è già oggi molto diffuso.
Molti di questi trattano dati sanitari ricollegabili a persone fisiche: e per questi la pubblica amministrazione dovrebbe chiedere ai fornitori – senza nessuna eccezione – una Valutazione d’Impatto.
Ma non tutti i software trattano dati personali. Molti trattano informazioni che non sono riconducibili a persone fisiche. Forse anche su questo tema occorre cominciare a riflettere, per effettuare dei corretti distinguo.