Il provvedimento del Garante 1 giugno 2023 n. 226 relativo alla raccolta di dati nell’ambito del progetto THIN ha sollevato un dibattito molto accesso. Sia tra i giuristi che nel mondo scientifico.
Ma merita un’analisi accurata per ripristinare la correttezza delle informazioni.
Il provvedimento Thin del Garante Privacy
Il provvedimento ha negato infatti la natura di dato anonimo ai real world data raccolti presso i medici di base italiani allo scopo di creare un data base nell’ambito del progetto THIN – The Health Improvement Network-THIN.
Il progetto è in essere sin dal 1994 in molti paesi della comunità europea (Francia, UK, Spagna, Belgio, Romania) e vi aderiscono più di 11.000 Medici di base in tutta Europa ( ampia disamina sul sito: www.the-health-improvement-network.com)
Più esattamente I dati anonimi raccolti nel corso della vita dei pazienti (c.d. studio longitudinale) vengono utilizzati da numerose istituzioni comunitarie (quali in Francia, dal Ministre des Solidarités et de la Santé (DRESS) e dal Comité économique des produits de santé (CEPS) e l’Agence Nationale de sécurité du Médicament et des produits de santé (ANSM); in UK, dal National Health Service NHS) per svolgere analisi e studi di rilevanza sanitaria e sociale come studi di population health management, analisi sulle politiche delle cure primarie e secondarie, ricerche epidemiologiche, farmacovigilanza, evidenze per l’approvazione dei farmaci.
Si tratta quindi di un progetto di rilevante valenza scientifica nel mondo della salute.
In Italia l’omonima società THIN srl circa due anni fa ha dato avvio ai lavori per la raccolta dati sul nostro territorio.
Come avviene l’anonimizzazione in Thin
Il processo di anonimizazione posto in essere (come si legge nel provvedimento stesso del Garante) risulta strutturato come di seguito
Il Medico di base che decide di aderire al Progetto THIN installa un applicativo, chiamato “Add-on”, sul suo gestionale Medico 2000; l’applicativo crea, in modo automatizzato e randomico, un codice GUID (Globally Unique Identifier) indipendente e scollegato da qualsiasi dato del paziente, poi applica su tale GUID un algoritmo di hash, che permette di trasformarlo in un codice alfanumerico di 64 caratteri, anch’esso slegato da informazioni che potrebbero identificare il paziente; cancella poi tutte le informazioni non necessarie ai fini del Progetto (principio di minimizzazione); applica diverse tecniche di generalizzazione dei dati, che hanno l’obiettivo di ridurre la specificità dei dati e quindi la loro riconducibilità a pazienti specifici (ad esempio, la data di nascita è sostituita con il solo anno e limitandola a 100, l’altezza è raggruppata per intervalli di 5 centimetri e limitandola a 2 metri, e così via).
A questo punto il set di informazioni viene spedito ad una società terza indipendente che ha il compito di verificare l’efficacia dell’anonimizzazione tramite un secondo livello di controllo: viene infatti verificata l’effettiva K-anonimity con livello soglia impostato a 10 pazienti (livello ben superiore alle normali pratiche dove la soglia è impostata a 3); ove poi tale soglia non sia raggiunta e quindi esistano dei dati (come ad esempio informazioni collegate a malattie rare o prescrizioni di particolari farmaci) che potrebbero presentare un rischio di re-identificazione del singolo paziente, questi dati vengono bloccati.
I dati non bloccati dalle tecniche applicate negli step precedenti vengono infine inviati in modo cifrato al database della società Thin srl ove il Codice Univoco viene nuovamente sostituito, attraverso un algoritmo, da un altro Codice Univoco. Infine a maggior garanzia del mantenimento dello status di dato anonimo, il contratto con cui il Medico di base aderisce al Progetto stesso prevede altresì l’impegno formale della sociteà “a non eseguire alcuna operazione che vada a danno della totale ed irreversibile anonimizzazione dei dati stessi”.
L’istruttoria del Garante
Nel corso dell’istruttoria davanti al Garante, la società (oltre ad illustrare gli step sopra descritti) produceva: n. 1 relazione di società terza circa robustezza del processo di anonimizzazione che e n. 2 test di valutazione sul rischio di re-identificazione dai quali emergeva “la totale assenza di record unici; un livello di rischio estremamente ridotto a fronte delle principali tipologie di attacchi utilizzati per effettuare re-identificazione dei dati anonimizzati, con valori molto uniformi e comunque sempre molto vicini allo 0%; “.
A fronte di tale articolato processo di anonimizzazione ed alle prove depositate a fondamento della robustezza del processo, il provvedimento del Garante (di be 35 pagine!) dedica al tema dell’anonimizzazione (punto cardine del provvedimento) una paginetta nella quale così afferma:
“si rileva che la mera sostituzione dell’ID del paziente con un codice hash irreversibile da questo ottenuto non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare il trattamento come un’anonimizzazione (…) In altre parole, la tecnica di k-anonimity, che consiste nel raggruppare gli interessati sulla base di specifiche combinazioni di attributi, opportunamente generalizzati, in modo che in ciascun raggruppamento siano inclusi almeno k soggetti non distinguibili tra loro, perde efficacia laddove, come nel caso in esame, a ciascun individuo sia associato un hash univoco (codice crittografico) seppur reso più complesso dalla presenza di un elemento di disturbo ignoto(salt).”
In sostanza: o si dimostra di aver spezzato indissolubilmente e definitivamente il link tra informazioni sanitarie e persona fisica o non vi può essere anonimizzazione.
Perché Thin ha ragione
Non è questo, però, quello che chiede il Legislatore comunitario.
Il considerando 26 del GDPR infatti abbraccia una diversa nozione di dato anonimo, chiedendo di valutare, nel concreto, la ragionevolezza dei mezzi utilizzabili per la identificazione e la ragionevole probabilità dell’utilizzo di tali mezzi, tenendo conto del tempo e dei costi di tale utilizzo.
Nella stessa direzione le Linee Guida EDPB 04_2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 ove si chiarisce bene cosa deve intendersi per “test di ragionevolezza”
Così pure il Garante Spagnolo che, nelle sue linee guida “Orientaciones y garantìas en los procedimientos de anonimizaciòn de datos personales”, ammette pacificamente già alla prima pagina che (libera traduzione dallo spagnolo) l’anonimizzazione non è mai assolutae chiarisce che “le tecniche utilizzabili devono essere valutate sia per i processi di anonimizzazione che per i possibili tentativi di re-identificazione dei soggetti interessati, in modo tale che lo sforzo di re-identificazione dei soggetti comporti un costo sufficientemente elevato da non poter essere affrontato in termini di rapporto sforzo/beneficio”.
Pacifico dunque che la valutazione della anonimizzazione del dato deve essere oggetto di analisi e prove concrete, in particolare sul livello del rischio di re-identificazione.
Prove concrete che devono essere certamente svolte dal soggetto che sostiene l’anonimizzazione del dato (in ossequio al principio dell’accountability), ma anche dai Garanti Privacy nel corso delle istruttorie, come chiarito dalla recentissima sentenza Tribunale UE 26 aprile 2023 T-557/2020.
Al contrario sembra che il nostro Garante non abbia tenuto in nessuna considerazione i principi della sentenza: non ha valutato il rischio di re-identificazione ponendosi dalla parte del ricevente i dati, non ha valutato gli eventuali mezzi a disposizione dello stesso, non ha analizzato i presidi legali attivati per impedire la reidentificazione, non ha dato in sostanza nessuna “prova”.
Ha invece diniegato la natura anonima del dato sulla base di una mera affermazione apodittica.
La vicenda presenta poi altre ombre.
Lo stesso giorno in cui la società riceveva la sanzione, il Garante inviava il provvedimento per esteso alla FNOMCeO, ed alle associazioni sia dei medici di base che dei pediatri (che non erano parte del procedimento), chiedendo altresì la massima diffusione (sic!): come risultato ai primi di luglio il provvedimento (che contiene anche profili di know how aziendale, frutto di anni di lavoro) veniva pubblicato sui tutti siti web di tutti gli ordini professionali d’Italia.
Nessuno vuole ovviamente negare che il Garante abbia un compito di sensibilizzazione rispetto alla materia privacy, ma vi sono anche altri modi – certamente meno impattanti – per creare conoscenza sul tema dati: bastava assumere una nota e/o circolare sul tema “banche dati in sanità e dati anonimi” , come già è stato fatto i Chiarimenti n. 55 del 7 marzo 2019 sempre su tematiche sanitarie.
E ancora.
A metà luglio il provvedimento veniva pubblicata sul sito del Garante, ciò in violazione dell’art. 20 comma 2 legge 689/’81 richiamato dall’art. 166 comma 7 Codice Privacy che vieta la pubblicazione delle ordinanze-ingiunzione in pendenza dei termini di impugnazione (3 agosto 2023).
Sempre in pendenza dei termini di impugnazione la notizia veniva pubblicata dal Garante sulla newsletter del 26 luglio 2023.
Il post conteneva poi una serie di errori ed imprecisioni assolutamente dannose per l’immagine della azienda: i medici coinvolti (meno di 500) diventano 7.000 e la complessa attività svolta dall’applicativo Add-On veniva banalizzata in una mera sostituzione del nome del paziente con un ID.
Sempre il post affermava che “In cambio i medici ottenevano una serie di vantaggi, tra cui un compenso economico”.
Anche questa affermazione travisa la realtà dei fatti, tenuto conto che i medici che decidevano di partecipare ricevevano una sorta di rimborso spese, uguale per tutti a prescindere dai dati trasmessi; peraltro ammesso e non concesso che fosse una vendita di dati, non si capisce quale sia lo “scandalo” se si tiene conto che gli ospedali vengono regolarmente pagati per raccogliere dati nelle sperimentazioni cliniche e che oggi la “vendita di dati sanitari” è espressamente prevista all’art. 3 del recente Decreto Ministero della Salute 30 novembre 2021 ove si stabilisce che l’ospedale può vendere all’azienda farmaceutica i dati raccolti negli studi no profit ricevendo idoneo compenso economico.
Va da sé che la newsletter del garante è stata ripresa da ANSA e poi ha rimbalzato (con tutti gli errori ed inesattezze) su tutte le riviste di settore.
Le conseguenze negative sulla ricerca
Oggi il progetto di ricerca è praticamente distrutto.
E tutte le raccolta di real word data per studi longitudinali svolte in Italia (numerose) si sono bloccate.
La vicenda sopra descritta richiede qualche, pacata, considerazione.
Il Garante è una pubblica amministrazione, chiamata a svolgere la sua funzione istituzionale nel rispetto dei principi di efficacia, imparzialità, pubblicità e trasparenza di cui all’art. 1 legge 241/90.
Ha oggi un compito molto delicato: applicare con equilibrio, proporzionalità e ragionevolezza il sistema disegnato dal GDPR, proteggendo gli interessanti, senza dimenticare che il Considerando 4 stabilisce che “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”
E la ricerca sanitaria – forse più di ogni altro settore – ha bisogno di questo equilibro e proporzionalità tra protezione delle persone fisiche e funzione sociale.
Il Covid è stato un grande insegnamento, in questo senso.
A prescindere quindi dalla questione anonimizzazione (sulla quale si pronuncerà il Giudice), è forse tempo di ripensare con attenzione a tutti gli elementi in gioco, di capire che oggi – in una “società di dati” – una decisione di questa portata ha un effetto domino molto impattante, di moderare i toni e valutare le modalità ed i tempi delle comunicazioni, di prestare attenzione ai contenuti, perché non siano (qualche volta volutamente) distorti.
Io credo sia l’unico modo che abbiamo per valorizzare veramente la materia e darle credibilità e sostanza.