Nel nostro paese i dati sanitari rivestono da sempre un ruolo fondamentale. Se, da un lato, la loro condivisione sta diventando sempre più importante per il raggiungimento di risultati utili all’intera collettività (per esempio, nell’ambito della ricerca scientifica), dall’altro è, però, necessario che tali dati vengano mantenuti protetti e sicuri da eventuali accessi indebiti.
A maggior ragione, se il trattamento si verifica mediante l’utilizzo di sistemi informatici e digitali, che consentono sì di velocizzare una serie di processi, ma allo stesso tempo espongono i dati a maggiori pericoli. È, infatti, ormai risaputo come il mondo sanitario sia diventato il bersaglio preferito degli hacker.
La sanità digitale deve, quindi, porsi come primo obiettivo quello di minimizzare i rischi sopra esposti, utilizzando efficaci tecniche di anonimizzazione dei dati.
Ecco cosa si intende veramente con il termine “anonimizzazione” e come si è espresso il Garante per la protezione dei dati personali su questa tecnica nell’ambito della sanità digitale.
Anonimizzazione: cosa significa
Purtroppo la vigente normativa in materia di protezione dei dati personali, rappresentata dal GDPR (Regolamento UE n. 2016/679) e dal Codice Privacy (D. Lgs. n. 196/2003), non riporta una vera e propria definizione del termine “anonimizzazione”.
Solo all’interno del considerando 26 del GDPR si fa un piccolo riferimento, ove si afferma che la disciplina in materia di protezione dei dati personali ed i relativi principi non riguarda “informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.
Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
Per comprendere realmente il significato del predetto termine occorre, quindi, fare un passo indietro nel tempo e fermarsi al primo testo normativo dedicato alla tutela dei dati personali nel nostro paese, la Legge n. 675/1996. Qui era ben chiaro e definito il significato di “dato anonimo”, da intendersi come “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Stessa definizione era, poi, stata traslata all’interno dell’art. 4 del Codice Privacy, ora
abrogato.
Occorre capire come fare oggi, quindi, per non incorrere in errori interpretativi. Può essere certamente utile la definizione contenuta nello standard ISO 29100:2011 secondo cui “l’anonimizzazione è un processo mediante il quale i dati personali vengono modificati in modo irreversibile così che il titolare del trattamento, da solo o in
collaborazione con altre parti, non possa più identificare direttamente o indirettamente l’interessato”.
Definizione, poi, espressamente richiamata nell’Opinion 05/2014 on Anonymisation Techniques adottata nel 2014 dal Gruppo di Lavoro Art. 29 di cui si dirà più avanti.
Sanità digitale e anonimizzazione: la posizione del Garante Privacy
Come anticipato, l’anonimizzazione assume grande importanza nell’ambito della sanità digitale e sono numerosi i casi in cui il Garante per la protezione dei dati personali è stato chiamato ad esprimersi.
Da ultimo, il provvedimento n. 226 del 1° giugno scorso con cui l’Autorità ha comminato una sanzione di 15.000 euro a una società per aver trattato illecitamente i dati sanitari di numerosi pazienti – raccolti presso circa 7 mila medici di medicina generale nell’ambito di un progetto internazionale tramite il software gestionale Medico 2000 – in assenza di adeguate tecniche di anonimizzazione.
Il provvedimento è arrivato all’esito di un’intesa attività istruttoria, avviata a seguito di una segnalazione da parte di un medico di medicina generale, durante la quale il Garante per la protezione dei dati personali ha appurato che la funzionalità “add-on” del software gestionale Medico 2000 non consentiva l’effettiva anonimizzazione delle informazioni raccolte dai medici di medicina generale, ma la sola pseudonimizzazione.
Il Garante ha, infatti, precisato che la mera sostituzione dell’ID attribuito ai pazienti, con un sistema di crittografia o con un codice hash irreversibile, non costituisce misura idonea a garantire il rispetto del requisito della rimozione delle singolarità (single out) necessario a qualificare il trattamento come un’anonimizzazione. Principio, peraltro, già contenuto nell’Opinion 05/2014 on Anonymisation Techniques del Gruppo di Lavoro Art. 29 in base al quale “affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura di anonimizzazione di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash”.
Quando il dato è anonimo
Il dato può, quindi, considerarsi anonimo nel solo caso in cui non sia possibile procedere con l’identificazione diretta o indiretta della persona, tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi ad utilizzare detti mezzi per identificare un interessato. Nello specifico, il processo così descritto deve
impedire che si possa:
- isolare una persona in un gruppo (single-out);
- collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (la cosiddetta linkability);
- dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).
Oltre a ciò, il Garante per la protezione dei dati personali ha poi riscontrato l’erronea attribuzione del ruolo di titolare del trattamento ai medici di medicina generale, tenuto conto che finalità e mezzi del trattamento risultavano definite dalla stessa società e non dai medici.
Come anonimizzare efficacemente i dati
Nell’Opinion 05/2014 on Anonymisation Techniques il Gruppo di Lavoro Art. 29 illustra due tecniche di anonimizzazione, elencandone anche punti di forza e debolezza.
La prima è la randomizzazione che si traduce in “una famiglia di tecniche che modifica la veridicità dei dati al fine di eliminare la forte correlazione che esiste tra i dati e la persona”. Tra queste vi sono:
- l’aggiunta di rumore statistico, consistente nella modifica dei dati attraverso l’inserimento di piccoli cambiamenti causali che limitano la capacità di collegamento dei dati alla persona;
- la permutazione, consistente nel mixare i valori all’interno di un dataset in modo tale che alcuni di questi risultino artificialmente collegati a diverse persone.
La seconda è, invece, la generalizzazione, che si traduce in un insieme di tecniche che agisce sulla riduzione della granularità dei dati, in modo da renderli meno precisi rispetto a quelli di partenza.
Nello specifico, si modifica la scala o l’ordine di grandezza (per esempio si indica un mese anziché una settimana, una regione anziché una città) così da rendere più difficile il riconoscimento di persone precise.
La k-anonimizzazione
Tra le tecniche di generalizzazione si segnala la k-anonimizzazione, che consiste nel raggruppamento delle persone interessate sulla base di specifici elementi, opportunamente generalizzati. In questo modo almeno un numero minimo (k) di persone, non distinguibili tra loro, condivide ciascun raggruppamento.
Su tale tecnica, però, il Garante ha rilevato come questa perda di efficacia laddove, a ciascun individuo, si associa un hash univoco (codice crittografico), sebbene la presenza di un elemento di disturbo ignoto lo renda più complesso.
Il Gruppo di Lavoro Art. 29 continua, poi, affermando che:
- alcune tecniche di anonimizzazione presentano limiti intrinsechi. Queste, quindi, richiedono un’analisi accurata prima del loro utilizzo;
- nessuna tecnica presente nell’Opinion 05/2014 on Anonymisation Techniques è in grado di soddisfare con certezza i criteri di un’effettiva anonimizzazione;
- si debba decidere la soluzione ottimale caso per caso sulla base di tre considerazioni ovvero se sussista ancora il rischio di: i) individuazione, ii) correlabilità e iii) deduzione. Se la soluzione adottata soddisfa, quindi, questi criteri, può ritenersi una protezione valida dall’identificazione effettuata mediante i mezzi che possono essere ragionevolmente utilizzati.
Conclusioni
Sebbene l’obiettivo della normativa in materia di protezione dei dati personali non sia quello di ostacolare il trattamento dei dati sanitari mediante sistemi digitali sempre più avanzati, però, è, necessario che si attui nel pieno rispetto dei diritti e delle libertà fondamentali degli interessati.
Il titolare del trattamento è, quindi, tenuto ad adottare le dovute accortezze, conformandosi ai principi e agli adempimenti previsti in materia di protezione dei dati personali. Ciò, anche nel caso in cui decida di anonimizzare i dati per cui, comunque,
Sebbene l’obiettivo della normativa in materia di protezione dei dati personali non sia quello di ostacolare il trattamento dei dati sanitari mediante sistemi digitali sempre più avanzati, però, è, necessario che si attui nel pieno rispetto dei diritti e delle libertà fondamentali degli interessati.
Il titolare del trattamento è, quindi, tenuto ad adottare le dovute accortezze, conformandosi ai principi e agli adempimenti previsti in materia di protezione dei dati personali. Ciò, anche nel caso in cui decida di anonimizzare i dati per cui è, comunque, opportuno individuare una tecnica effettivamente in grado di escludere la re-identificazione dell’interessato.
