Un recente Provvedimento del Garante privacy (Provvedimento n. 226 del 1° giugno 2023) analizza la delicata tematica del trattamento dei dati personali di salute fornendo da un lato un’importante lezione in ordine alla qualificazione di un soggetto come Titolare del trattamento e, dall’altro, dandoci la possibilità di riflettere in merito alla “contrattualizzazione” delle attività di trattamento.
Il Provvedimento, che nel caso di specie va ad analizzare una attività di trattamento di dati personali realizzata su iniziativa di una Società privata da diversi Medici di Medicina Generale (MMG), è stato trasmesso, con preghiera di diffusione a tutti gli iscritti, alla Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri il cui Presidente ha inoltrato il testo nello stesso giorno della ricezione “…in considerazione della rilevanza della fattispecie trattata” (Com. n. 79/2023).
Il progetto al centro del provvedimento del Garante
Il Provvedimento riassume in poco più di trenta pagine una complessa istruttoria durata due anni e avviata dall’Autorità su iniziativa di un medico particolarmente attento alle tematiche inerenti alla protezione dei dati personali.
Il professionista ha infatti trasmesso al Garante Privacy una copia del contratto predisposto dalla Società̀ THIN S.r.l., avente ad oggetto la realizzazione di un “Health Improvement Network”, presentato nel contratto medesimo come “…un Progetto internazionale di raccolta e analisi di dati clinici anonimi “real life” che ha l’obiettivo di garantire progressi nella cura del paziente e negli outcome clinici ed accrescere la comprensione del percorso di cura del paziente”.
Nella pratica, il Progetto prevedeva di costituire un “database aperto”, utilizzabile da ricercatori a livello nazionale e internazionale e finalizzato a migliorare le cure del paziente attraverso la ricerca scientifica, sia epidemiologica che di farmacovigilanza.
In termini di qualificazione, l’attività sarebbe rientrata nell’ambito del c.d. utilizzo secondario di dati di salute, ovvero del trattamento successivo di dati personali raccolti per finalità di cura (i c.d. Real Word Data -RWD) e comunque non acquisiti attraverso uno studio clinico.
I RWD, in ambito sanitario, sono considerati big data ed hanno un’importanza notevole nelle iniziative di ricerca in quanto, per loro propria natura, consentono di evitare i limiti derivanti dalla raccolta di dati solamente “teorica” in corso di studi clinici e di colmare il divario (anche in termini di possibili distorsioni) tra i risultati ottenibili tramite le sperimentazioni e quelli derivanti dalla pratica clinica.
Per i ricercatori i RWD consentono di agire su rilevazioni “empiriche” non ottenibili al di fuori della vita reale. Il loro utilizzo è sensibilmente aumentato durante la pandemia da Covid-19 proprio per la qualità che garantiscono e per gli standard di accessibilità e velocizzazione della ricerca che offrono.
Le attività di trattamento dei dati personali e la titolarità
La raccolta dei dati personali finalizzata a realizzare il Progetto era resa possibile grazie ai MMG già utilizzatori del software Medico 2000 (circa 8000 in tutta Italia), fornito dalla Società Mediatec Informatica S.r.l. per la gestione dei dati di salute dei pazienti e per il governo clinico.
In virtù di un accordo tra Mediatec e THIN, i MMG aderenti al Progetto avrebbero ricevuto, dopo aver sottoscritto un contratto, un modulo aggiuntivo (c.d. add-on o “estrattore di dati”) alla versione standard del gestionale in uso, che avrebbe consentito loro di effettuare automaticamente il processo di anonimizzazione di taluni dati personali già acquisiti e la conseguente trasmissione degli stessi verso THIN.
Tale processo poteva essere escluso solo attraverso un’azione positiva (flag) del medico, da realizzare nel caso in cui un paziente, previamente informato dal proprio MMG, avesse deciso di non aderire, a sua volta, all’iniziativa.
Sul piano squisitamente tecnico, l’anonimizzazione sarebbe stata realizzata attraverso la “…sostituzione non reversibile dell’identificatore del paziente con un identificatore ‘GUID’ ottenuto utilizzando l’hash calcolato tramite l’algoritmo sicuro SHA-256 di un valore estratto in modo randomico” nonché attraverso il ricorso a “generalizzazioni” di taluni record (peso, altezza, stato di famiglia…).
Le tecniche di anonimizzazione adottate per il Progetto risultavano altresì affinate ulteriormente con l’aggiunta di una “base di dati di servizio centralizzata”, gestita da una Società (terza parte qualificata), a sua volta in rapporto contrattuale con Mediatec, che si sarebbe fatta carico di misurare e di garantire l’efficacia del processo di anonimizzazione prima che i dati venissero trasmessi a THIN S.r.l., scartando o effettuando operazioni aggiuntive sui record che avessero presentato rischi significativi di re-identificazione, per le loro caratteristiche statistiche.
Il contenuto del contratto proposto ai MMG
Particolarmente interessante, ai fini dell’istruttoria, è il contenuto del contratto proposto ai MMG da THIN, in quanto, tramite esso, tale Società implicitamente negava la qualifica di Titolare del trattamento dei dati personali necessario all’anonimizzazione dei record.
La Società, infatti, nel contratto dichiarava, in riferimento ai dati personali degli interessati, trattati ab origine dal MMG per finalità di cura, di:
- ricevere solo dati considerati già anonimi (ovvero dati personali resi tali a seguito di una anonimizzazione che consenta di evitare il rischio di re-identificazione dell’interessato). Tale anonimizzazione era dichiarata conforme, peraltro, alle raccomandazioni dell’Opinion 05/2014 on Anonymistation Techniques del WP art. 29 (oggi European Data Protection Board).
- non avere alcun ruolo in tale anonimizzazione, che sarebbe svolta in autonomia da parte del MMG avvalendosi dell’add-on fornito da Mediatec.
A tale proposito il Progetto segue una prassi internazionale diffusa da tempo nel settore sanitario che “consiste nell’utilizzo di dati e di prove cliniche derivate dal mondo reale, ciò che nel gergo internazionale viene definito con le espressioni anglosassoni real world data (RWD) e real world evidence (RWE)”, informazioni ed evidenze cliniche raccolte e condivise nell’ambito medico con lo scopo di favorire l’efficienza e l’efficacia dell’assistenza sanitaria nell’interesse generale.
Tali categorie di big data sono utilizzate per integrare i dati delle sperimentazioni cliniche randomizzate e sono rilevanti per colmare il divario di conoscenze tra le sperimentazioni cliniche e la pratica clinica, fornire nuove informazioni sui modelli di malattia e contribuire a migliorare la sicurezza e l’efficacia degli interventi sanitari.
Il contratto succitato individuava, però, quale Titolare del trattamento il solo MMG aderente, mentre Mediatec era qualificata quale Responsabile del trattamento ai sensi dell’art. 28 del Reg. UE 2016/679, relativamente alle attività di supporto tecnico al MMG, sulla base del contratto stipulato per la fruizione del software stesso.
THIN si rendeva disponibile a fornire al MMG un modello di “Informazioni sul trattamento dei dati personali” da utilizzare nei rapporti con il paziente, senza tuttavia entrare minimamente nel merito dell’individuazione della base giuridica di tale attività, in quanto interamente rimessa al MMG.
Abbastanza curioso, ai fini della ricostruzione delle Responsabilità connesse al trattamento, il fatto che anche THIN avesse provveduto a sua volta a nominare Responsabile del trattamento Mediatec, per le attività svolte con i medici di “…accertare il loro interesse a ricevere informazioni sul ProgettoTHIN e gestire la successiva attivazione dell’Add- On”.
Altrettanto curiosa è l’indicazione del corrispettivo riconosciuto al MMG aderenti, “per gratificarli per la loro decisione di partecipare e sostenere il Progetto”, che poteva essere meramente economico (circa 260 euro più iva all’anno) o sia economico che “materiale” (circa 60 euro più iva all’anno e la fornitura gratuita di un software finalizzato alla “gestione routinaria dell’attività ambulatoriale”).
Oltre a tale corrispettivo, al medico sarebbe altresì stata riconosciuta la qualità, non meglio definibile, di “medico ricercatore”.
All’esito dell’istruttoria preliminare e dello scambio di informazioni intercorso con i soggetti coinvolti, l’Autorità ha ritenuto che THIN agisse in violazione della normativa, realizzando un’attività di trattamento (raccolta di informazioni) in qualità di Titolare autonomo del trattamento e in assenza di un’idonea base giuridica, inserendosi nel rapporto contrattuale tra MMG e Mediatec.
L’istruttoria e la (ri)definizione dei rapporti
Dal Provvedimento n. 226 si ricava che l’Autorità Garante ha condotto, in riferimento al Progetto, un’istruttoria di grande complessità sul piano tecnico, approfondendo, in particolare, le metodiche utilizzate nello specifico caso ai fini dell’anonimizzazione dei dati personali (k-anonimity), e arrivando a concludere che le stesse non potevano ritenersi idonee a garantire la non re-identificabilità dei pazienti.
Ciò risultava evidente sia per la scelta di associare allo stesso paziente un hash univoco, in luogo dei dati direttamente identificativi, sia per la scelta di non prevedere alcuna tecnica di randomizzazione nell’anonimizzare un ID paziente.
Tale scelta comportava la possibilità di linkability (collegare dati anonimizzati a dati riferibili a una persona presente in un distinto insieme di dati) e di single out (isolare una persona in un gruppo), vanificando in tal modo la generalizzazione dei dati e l’attività della “terza parte” di inserimento di un c.d. “salt” di disturbo.
Il trattamento in esame, così inquadrato, non poteva che qualificarsi come una forma di pseudonimizzazione che, seppur particolarmente forte, non faceva però far venir meno la natura di dati personali di quanto oggetto di elaborazione e trasmissione da parte dei MMG.
Le tecniche adottate, a giudizio dell’Autorità, rendevano solamente più complessa la ricongiunzione tra l’identità̀ del paziente e la sua storia clinica ma non la escludevano.
Appurato quindi di non trovarsi, nel caso di specie, davanti ad un’adeguata anonimizzazione dei dati personali, l’attività in esame, secondo il Garante, non poteva che qualificarsi come un trattamento dei dati personali, quindi soggetto alla disciplina del Regolamento UE 2016/679.
A conferma di tale qualificazione, anche la scelta di THIN di designare formalmente Mediatec Responsabile ex art. 28 RGPD, implica già di per sé stessa il riconoscimento dell’esistenza di un trattamento di dati personali conseguente all’attivazione del Progetto.
Se THIN avesse ricevuto solo record anonimi, infatti, non vi sarebbe alcuna necessità di designare un soggetto per compiere attività di trattamento per suo conto.
In merito all’individuazione del soggetto che ricopre effettivamente il ruolo di Titolare del trattamento, il Garante ha evidenziato che il Comitato europeo per la protezione dei dati, nelle Linee guida 07/2020 sui concetti di Titolare del trattamento e di Responsabile del trattamento ai sensi del GDPR (7 luglio 2021), raccomanda di interpretare il concetto di «Titolare del trattamento» in modo sufficientemente estensivo alla luce di un’analisi fattuale delle vicende esaminate e non di una qualificazione meramente formale (cfr. part. 1 n. 14, part. 2 punto 21).
La duttilità della disciplina in materia di protezione dei dati personali rende, infatti, impossibile la definizione aprioristica del ruolo di Titolare del trattamento “semplicemente redigendo il contratto in un determinato modo, laddove ciò̀ non corrisponda alle circostanze di fatto (cfr. part. 2 punto 28, delle richiamate Linee guida)”. A prescindere da quanto indicato nell’ambito di uno specifico contratto, “…se una parte decide di fatto le finalità̀ e le modalità̀ del trattamento di dati personali, essa sarà̀ il Titolare del trattamento”.
Il Garante ha poi osservato che, nel caso in esame, ciascun MMG altro non fa che pseudonimizzare e trasferire i dati a THIN, su richiesta e dietro corrispettivo della Società stessa e con le modalità̀ da questa predisposte.
A fronte di tale evidenza THIN era materialmente e senza alcun dubbio il soggetto che definiva mezzi e finalità del trattamento, nonostante gli sforzi volti ad attribuirne ad altri la Titolarità.
A nulla rileva infatti, di fronte alla realtà fattuale, la convinzione di ritenere, seppur in buona fede, di trasferire dati realmente anonimizzati.
D’altro canto, sempre il Garante specifica che se non vi fosse stata tale buonafede i medici non avrebbero mai aderito spontaneamente al progetto: il Codice di deontologia medica è particolarmente chiaro all’articolo 11, terzo paragrafo, nel disporre il divieto di partecipare alla costituzione di banche dati senza aver prima ricevuto garanzie sulla loro conformità alla normativa (”Il medico non può collaborare alla costituzione di banche di dati sanitari, ove non esistano garanzie di tutela della riservatezza, della sicurezza e della vita privata della persona”).
Essendo Titolare del trattamento, deve riconoscersi in capo a THIN anche l’obbligo di individuare un’idonea base giuridica per le attività di trattamento dei dati personali previste dal Progetto che, alla luce delle indicazioni di cui all’articolo 9 del RGPD, non può che essere il consenso.
In nessun caso può però ritenersi adeguata, per il Garante, la scelta di consentire al paziente, come era previsto nel Progetto, di esprimere unicamente il diniego ad aderire al Progetto (opt out), senza prevedere la possibilità per tale interessato di assicurare una manifestazione di volontà in senso positivo (opt in) in termini di consenso libero, specifico, informato e inequivocabile dell’interessato (ex articolo 9, paragrafo 2, lettera a) RGPD).
Sulla contrattualizzazione dei dati personali
Oltre agli insegnamenti in merito al riconoscimento della Titolarità del trattamento in capo a un soggetto, a prescindere dalla qualificazione formale operata o dichiarata dalle parti, un aspetto particolarmente rilevante del Provvedimento del 1° giugno scorso consiste nella riflessione in merito alla “contrattualizzazione” delle attività di trattamento.
Il rapporto tra THIN e MMG è infatti definito come un “contratto a prestazioni corrispettive”, il cui sinallagma vede, da un lato, l’impegno a fornire dati anonimizzati, e dall’altro la retribuzione correlata a tale impegno.
Se è pur vero che, come si augura l’Autorità, THIN abbia agito in buona fede ritenendo di non stipulare un contratto relativo alla cessione di dati personali, resta il fatto che gli stessi ne hanno costituito direttamente l’oggetto.
A tale proposito assume rilievo la riflessione dell’Autorità stessa che afferma:
“La disciplina in materia di protezione dei dati personali non è volta ad ostacolarne il trattamento, né la libertà di iniziativa economica privata o l’attività di ricerca, che fondano parte del loro buon esito proprio sull’uso di dati anche di carattere personale, ma ad assicurare che tali attività vengano svolte nel rispetto dei diritti e delle libertà fondamentali degli interessati e soprattutto nel rispetto dell’autodeterminazione informativa degli interessati ai quali deve essere assicurato, in piena trasparenza, il controllo e la gestione del proprio patrimonio informativo (cfr. cons 41 del Regolamento). [Nel caso in esame, tuttavia,] si rileva come estremamente critica la riscontrata patrimonializzazione di dati personali (per altro inerenti allo stato di salute) che il richiamato sinallagma produce a vantaggio di soggetti terzi e nella sostanziale ignoranza degli interessati (pazienti dei MMG)”.
L’interprete potrebbe leggere l’ultima citazione come una conferma definitiva dell’indisponibilità dei dati personali da parte dell’interessato, coerentemente con la riflessione della dottrina più tradizionale che ritiene che essi, al pari degli altri diritti della personalità, non possano mai divenire oggetto di contratto.
Chi invece ritiene che il dogma dell’intrasmissibilità inter vivos (inteso come extra patrimonialità e indisponibilità) dei diritti della personalità sia ormai stato superato dalla prassi, potrà ricavare delle conferme indirette dalla citazione sopra riportata.
La stessa potrebbe infatti essere letta nel senso che non vi sia alcuna preclusione “generale” a che i dati personali possano essere oggetto di circolazione, con la specifica che qualsivoglia atto dispositivo l’interessato acconsenta a realizzare debba essere sempre guidato da alcuni indefettibili presupposti:
- il rispetto dei principi del GDPR;
- l’informazione e la trasparenza in merito alle implicazioni delle scelte;
- il riconoscimento dell’autodeterminazione dell’interessato nelle scelte inerenti ai propri diritti fondamentali.
Questa prospettiva permette di legittimare la circolazione del diritto alla data protection senza negare il valore della persona umana e senza ridurre a merci di scambio i diritti che si riconducono ad essa.
Conclusioni
Chi scrive ritiene che il dibattito sia ben lungi dall’essere esaurito in merito alla tematica ma, al contrario, che il vero sviluppo dello stesso si potrà avere nei prossimi anni, in ragione dell’evolvere della società e della rimodulazione dei valori che la contraddistinguono tenendo comunque come riferimento i principi sanciti dalla Costituzione e dalle Carte Fondamentali dell’Unione e, non ultimo, dal RGPD.
La replica di Thin
A seguito dell’avvenuta divulgazione e diffusione della notizia inerente alla vicenda oggetto del provvedimento n. 226 del 1° giugno 2023 del Garante per la Protezione dei Dati Personali, che vede coinvolta la società Thin S.r.l., l’azienda stigmatizza e prende le distanze da ogni notizia pubblicata e da tutti i comunicati diffusi in ordine alla suddetta vicenda, in quanto contenenti elementi, dati e ricostruzioni non aderenti alla realtà dei fatti.
Si rende inoltre necessario precisare che l’Autorità Garante ha provveduto alla pubblicazione del provvedimento nonostante la pendenza dei termini di impugnazione e che, a maggior ragione, la società ha presentato le proprie doglianze in fatto e in diritto avanti all’Autorità giudiziaria preposta.
Riteniamo fondamentale ricordare che “The Health Improvement Network-THIN” è un osservatorio creato nell’interesse della salute pubblica. L’osservatorio THIN è alimentato dai dati anonimizzati forniti dai Medici Ricercatori che, volontariamente e liberamente, decidono di aderire al progetto in quanto credono nel suo valore: generare una base di conoscenza per la ricerca medica, che consenta di realizzare progressi nei percorsi di cura dei pazienti.
Il valore di questi dati è fondamentale per prevenire, monitorare e gestire pandemie come COVID-19, per comprendere meglio la diffusione e l’epidemiologia delle malattie, le sintomatologie, le comorbidità, l’efficacia e la sicurezza delle terapie. THIN costituisce una fonte di dati ampiamente riconosciuta, rispettata e affidabile nel campo della ricerca e degli studi accademici, tanto che è citata in circa 2.000 pubblicazioni e riviste scientifiche internazionaliindicizzate; inoltre, numerose Autorità sanitarie in diversi Paesi europei, in primis EMA, l’Agenzia Europea per i Medicinali, prestigiose università, istituti di ricerca internazionali, utilizzano le informazioni THIN come riferimento per l’analisi delle cure primarie.
Nel provvedimento citato, l’Autorità Garante, pur riconoscendo la buona fede nonché l’accountability della società Thin S.r.l. e la qualità delle best practice implementate (e questi elementi motivano l’esiguità della sanzione amministrativa comminata), ritiene che i dati trattati siano pseudoanonimizzati e non anonimizzati, senza tuttavia dimostrarlo.
Noi siamo fermamente convinti che il database THIN, che rispetta gli standard previsti dalle Autorità, sia completamente anonimo e sarà riconosciuto come tale; come del resto, per casi analoghi, si è già espressa la giurisprudenza (da ultimo il Tribunale dell’Unione europea il 16 aprile 2023). Analogamente, siamo certi che la metodologia di anonimizzazione implementata nel progetto THIN sia di gran lunga la più sicura tra quelle presenti sul territorio italiano per database simili.
Inoltre, l’approccio dell’Autorità Garante rischia di bloccare totalmente la ricerca clinica basata sui real world data in Italia, il che provocherebbe un danno in primis per i pazienti. Per evitare che ciò avvenga, per proseguire il progetto THIN e salvaguardare l’immagine di tutti gli attori coinvolti, la nostra società ha contestato formalmente questo provvedimento e adirà le vie legali, in tutti i gradi di giudizio, sia in Italia che in Europa.
Stante la pendenza del giudizio di opposizione, l’azienda si avvale del diritto di replica e invita cortesemente i media a voler pubblicare la presente nota stampa nonché a rimuovere al più presto da tutte le notizie e articoli diffusi sulla vicenda (di cui al Provvedimento n. 226 del 1° giugno 2023) qualsivoglia riferimento a soggetti terzi, quali i Medici Ricercatori e Mediatec, che non sono assolutamente coinvolti nelle censure poste dall’Autorità.
Considerata la delicatezza e la complessità del tema, Thin S.r.l. confida nella collaborazione da parte degli Organi di informazione.
Comunicato stampa Thin
