Titolarità del trattamento

Fornire dati sanitari anonimi: i paletti del Garante privacy



Indirizzo copiato

Una complessa istruttoria durata oltre due anni ha permesso al Garante di far luce sulle problematiche in termini di titolarità e contrattualizzazione delle attività di trattamento di un Progetto che prevedeva di costituire un “database aperto” volto a migliorare le cure del paziente. Ecco cosa è emerso

Pubblicato il 28 lug 2023

Cesare Costi

Staff privacy

Daniela Guarenghi

Esperta privacy

Filomena Polito

Responsabile Protezione Dati in ambito sanitario – Valutatore Privacy



Terabytes,Of,Binary,Code,Data,Flying,In,A,Stream,Of

Un recente Provvedimento del Garante privacy (Provvedimento n. 226 del 1° giugno 2023) analizza la delicata tematica del trattamento dei dati personali di salute fornendo da un lato un’importante lezione in ordine alla qualificazione di un soggetto come Titolare del trattamento e, dall’altro, dandoci la possibilità di riflettere in merito alla “contrattualizzazione” delle attività di trattamento.

Il Provvedimento, che nel caso di specie va ad analizzare una attività di trattamento di dati personali realizzata su iniziativa di una Società privata da diversi Medici di Medicina Generale (MMG), è stato trasmesso, con preghiera di diffusione a tutti gli iscritti, alla Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri il cui Presidente ha inoltrato il testo nello stesso giorno della ricezione “…in considerazione della rilevanza della fattispecie trattata” (Com. n. 79/2023).

Il progetto al centro del provvedimento del Garante

Il Provvedimento riassume in poco più di trenta pagine una complessa istruttoria durata due anni e avviata dall’Autorità su iniziativa di un medico particolarmente attento alle tematiche inerenti alla protezione dei dati personali.

Il professionista ha infatti trasmesso al Garante Privacy una copia del contratto predisposto dalla Società̀ THIN S.r.l., avente ad oggetto la realizzazione di un “Health Improvement Network”, presentato nel contratto medesimo come “…un Progetto internazionale di raccolta e analisi di dati clinici anonimi “real life” che ha l’obiettivo di garantire progressi nella cura del paziente e negli outcome clinici ed accrescere la comprensione del percorso di cura del paziente”.

Nella pratica, il Progetto prevedeva di costituire un “database aperto”, utilizzabile da ricercatori a livello nazionale e internazionale e finalizzato a migliorare le cure del paziente attraverso la ricerca scientifica, sia epidemiologica che di farmacovigilanza.

In termini di qualificazione, l’attività sarebbe rientrata nell’ambito del c.d. utilizzo secondario di dati di salute, ovvero del trattamento successivo di dati personali raccolti per finalità di cura (i c.d. Real Word Data -RWD) e comunque non acquisiti attraverso uno studio clinico.

I RWD, in ambito sanitario, sono considerati big data ed hanno un’importanza notevole nelle iniziative di ricerca in quanto, per loro propria natura, consentono di evitare i limiti derivanti dalla raccolta di dati solamente “teorica” in corso di studi clinici e di colmare il divario (anche in termini di possibili distorsioni) tra i risultati ottenibili tramite le sperimentazioni e quelli derivanti dalla pratica clinica.

Per i ricercatori i RWD consentono di agire su rilevazioni “empiriche” non ottenibili al di fuori della vita reale. Il loro utilizzo è sensibilmente aumentato durante la pandemia da Covid-19 proprio per la qualità che garantiscono e per gli standard di accessibilità e velocizzazione della ricerca che offrono.

Le attività di trattamento dei dati personali e la titolarità

La raccolta dei dati personali finalizzata a realizzare il Progetto era resa possibile grazie ai MMG già utilizzatori del software Medico 2000 (circa 8000 in tutta Italia), fornito dalla Società Mediatec Informatica S.r.l. per la gestione dei dati di salute dei pazienti e per il governo clinico.

In virtù di un accordo tra Mediatec e THIN, i MMG aderenti al Progetto avrebbero ricevuto, dopo aver sottoscritto un contratto, un modulo aggiuntivo (c.d. add-on o “estrattore di dati”) alla versione standard del gestionale in uso, che avrebbe consentito loro di effettuare automaticamente il processo di anonimizzazione di taluni dati personali già acquisiti e la conseguente trasmissione degli stessi verso THIN.

Tale processo poteva essere escluso solo attraverso un’azione positiva (flag) del medico, da realizzare nel caso in cui un paziente, previamente informato dal proprio MMG, avesse deciso di non aderire, a sua volta, all’iniziativa.

Sul piano squisitamente tecnico, l’anonimizzazione sarebbe stata realizzata attraverso la “…sostituzione non reversibile dell’identificatore del paziente con un identificatore ‘GUID’ ottenuto utilizzando l’hash calcolato tramite l’algoritmo sicuro SHA-256 di un valore estratto in modo randomico” nonché attraverso il ricorso a “generalizzazioni” di taluni record (peso, altezza, stato di famiglia…).

Le tecniche di anonimizzazione adottate per il Progetto risultavano altresì affinate ulteriormente con l’aggiunta di una “base di dati di servizio centralizzata”, gestita da una Società (terza parte qualificata), a sua volta in rapporto contrattuale con Mediatec, che si sarebbe fatta carico di misurare e di garantire l’efficacia del processo di anonimizzazione prima che i dati venissero trasmessi a THIN S.r.l., scartando o effettuando operazioni aggiuntive sui record che avessero presentato rischi significativi di re-identificazione, per le loro caratteristiche statistiche.

Il contenuto del contratto proposto ai MMG

Particolarmente interessante, ai fini dell’istruttoria, è il contenuto del contratto proposto ai MMG da THIN, in quanto, tramite esso, tale Società implicitamente negava la qualifica di Titolare del trattamento dei dati personali necessario all’anonimizzazione dei record.

La Società, infatti, nel contratto dichiarava, in riferimento ai dati personali degli interessati, trattati ab origine dal MMG per finalità di cura, di:

  • ricevere solo dati considerati già anonimi (ovvero dati personali resi tali a seguito di una anonimizzazione che consenta di evitare il rischio di re-identificazione dell’interessato). Tale anonimizzazione era dichiarata conforme, peraltro, alle raccomandazioni dell’Opinion 05/2014 on Anonymistation Techniques del WP art. 29 (oggi European Data Protection Board).
  • non avere alcun ruolo in tale anonimizzazione, che sarebbe svolta in autonomia da parte del MMG avvalendosi dell’add-on fornito da Mediatec.

A tale proposito il Progetto segue una prassi internazionale diffusa da tempo nel settore sanitario che “consiste nell’utilizzo di dati e di prove cliniche derivate dal mondo reale, ciò che nel gergo internazionale viene definito con le espressioni anglosassoni real world data (RWD) e real world evidence (RWE)”, informazioni ed evidenze cliniche raccolte e condivise nell’ambito medico con lo scopo di favorire l’efficienza e l’efficacia dell’assistenza sanitaria nell’interesse generale.

Tali categorie di big data sono utilizzate per integrare i dati delle sperimentazioni cliniche randomizzate e sono rilevanti per colmare il divario di conoscenze tra le sperimentazioni cliniche e la pratica clinica, fornire nuove informazioni sui modelli di malattia e contribuire a migliorare la sicurezza e l’efficacia degli interventi sanitari.

Il contratto succitato individuava, però, quale Titolare del trattamento il solo MMG aderente, mentre Mediatec era qualificata quale Responsabile del trattamento ai sensi dell’art. 28 del Reg. UE 2016/679, relativamente alle attività di supporto tecnico al MMG, sulla base del contratto stipulato per la fruizione del software stesso.

THIN si rendeva disponibile a fornire al MMG un modello di “Informazioni sul trattamento dei dati personali” da utilizzare nei rapporti con il paziente, senza tuttavia entrare minimamente nel merito dell’individuazione della base giuridica di tale attività, in quanto interamente rimessa al MMG.

Abbastanza curioso, ai fini della ricostruzione delle Responsabilità connesse al trattamento, il fatto che anche THIN avesse provveduto a sua volta a nominare Responsabile del trattamento Mediatec, per le attività svolte con i medici di “…accertare il loro interesse a ricevere informazioni sul ProgettoTHIN e gestire la successiva attivazione dell’Add- On”.

Altrettanto curiosa è l’indicazione del corrispettivo riconosciuto al MMG aderenti, “per gratificarli per la loro decisione di partecipare e sostenere il Progetto”, che poteva essere meramente economico (circa 260 euro più iva all’anno) o sia economico che “materiale” (circa 60 euro più iva all’anno e la fornitura gratuita di un software finalizzato alla “gestione routinaria dell’attività ambulatoriale”).

Oltre a tale corrispettivo, al medico sarebbe altresì stata riconosciuta la qualità, non meglio definibile, di “medico ricercatore”.

All’esito dell’istruttoria preliminare e dello scambio di informazioni intercorso con i soggetti coinvolti, l’Autorità ha ritenuto che THIN agisse in violazione della normativa, realizzando un’attività di trattamento (raccolta di informazioni) in qualità di Titolare autonomo del trattamento e in assenza di un’idonea base giuridica, inserendosi nel rapporto contrattuale tra MMG e Mediatec.

L’istruttoria e la (ri)definizione dei rapporti

Dal Provvedimento n. 226 si ricava che l’Autorità Garante ha condotto, in riferimento al Progetto, un’istruttoria di grande complessità sul piano tecnico, approfondendo, in particolare, le metodiche utilizzate nello specifico caso ai fini dell’anonimizzazione dei dati personali (k-anonimity), e arrivando a concludere che le stesse non potevano ritenersi idonee a garantire la non re-identificabilità dei pazienti.

Ciò risultava evidente sia per la scelta di associare allo stesso paziente un hash univoco, in luogo dei dati direttamente identificativi, sia per la scelta di non prevedere alcuna tecnica di randomizzazione nell’anonimizzare un ID paziente.

Tale scelta comportava la possibilità di linkability (collegare dati anonimizzati a dati riferibili a una persona presente in un distinto insieme di dati) e di single out (isolare una persona in un gruppo), vanificando in tal modo la generalizzazione dei dati e l’attività della “terza parte” di inserimento di un c.d. “salt” di disturbo.

Il trattamento in esame, così inquadrato, non poteva che qualificarsi come una forma di pseudonimizzazione che, seppur particolarmente forte, non faceva però far venir meno la natura di dati personali di quanto oggetto di elaborazione e trasmissione da parte dei MMG.

Le tecniche adottate, a giudizio dell’Autorità, rendevano solamente più complessa la ricongiunzione tra l’identità̀ del paziente e la sua storia clinica ma non la escludevano.

Appurato quindi di non trovarsi, nel caso di specie, davanti ad un’adeguata anonimizzazione dei dati personali, l’attività in esame, secondo il Garante, non poteva che qualificarsi come un trattamento dei dati personali, quindi soggetto alla disciplina del Regolamento UE 2016/679.

A conferma di tale qualificazione, anche la scelta di THIN di designare formalmente Mediatec Responsabile ex art. 28 RGPD, implica già di per sé stessa il riconoscimento dell’esistenza di un trattamento di dati personali conseguente all’attivazione del Progetto.

Se THIN avesse ricevuto solo record anonimi, infatti, non vi sarebbe alcuna necessità di designare un soggetto per compiere attività di trattamento per suo conto.

In merito all’individuazione del soggetto che ricopre effettivamente il ruolo di Titolare del trattamento, il Garante ha evidenziato che il Comitato europeo per la protezione dei dati, nelle Linee guida 07/2020 sui concetti di Titolare del trattamento e di Responsabile del trattamento ai sensi del GDPR (7 luglio 2021), raccomanda di interpretare il concetto di «Titolare del trattamento» in modo sufficientemente estensivo alla luce di un’analisi fattuale delle vicende esaminate e non di una qualificazione meramente formale (cfr. part. 1 n. 14, part. 2 punto 21).

La duttilità della disciplina in materia di protezione dei dati personali rende, infatti, impossibile la definizione aprioristica del ruolo di Titolare del trattamento “semplicemente redigendo il contratto in un determinato modo, laddove ciò̀ non corrisponda alle circostanze di fatto (cfr. part. 2 punto 28, delle richiamate Linee guida)”. A prescindere da quanto indicato nell’ambito di uno specifico contratto, “…se una parte decide di fatto le finalità̀ e le modalità̀ del trattamento di dati personali, essa sarà̀ il Titolare del trattamento”.

Il Garante ha poi osservato che, nel caso in esame, ciascun MMG altro non fa che pseudonimizzare e trasferire i dati a THIN, su richiesta e dietro corrispettivo della Società stessa e con le modalità̀ da questa predisposte.

A fronte di tale evidenza THIN era materialmente e senza alcun dubbio il soggetto che definiva mezzi e finalità del trattamento, nonostante gli sforzi volti ad attribuirne ad altri la Titolarità.

A nulla rileva infatti, di fronte alla realtà fattuale, la convinzione di ritenere, seppur in buona fede, di trasferire dati realmente anonimizzati.

D’altro canto, sempre il Garante specifica che se non vi fosse stata tale buonafede i medici non avrebbero mai aderito spontaneamente al progetto: il Codice di deontologia medica è particolarmente chiaro all’articolo 11, terzo paragrafo, nel disporre il divieto di partecipare alla costituzione di banche dati senza aver prima ricevuto garanzie sulla loro conformità alla normativa (”Il medico non può collaborare alla costituzione di banche di dati sanitari, ove non esistano garanzie di tutela della riservatezza, della sicurezza e della vita privata della persona”).

Essendo Titolare del trattamento, deve riconoscersi in capo a THIN anche l’obbligo di individuare un’idonea base giuridica per le attività di trattamento dei dati personali previste dal Progetto che, alla luce delle indicazioni di cui all’articolo 9 del RGPD, non può che essere il consenso.

In nessun caso può però ritenersi adeguata, per il Garante, la scelta di consentire al paziente, come era previsto nel Progetto, di esprimere unicamente il diniego ad aderire al Progetto (opt out), senza prevedere la possibilità per tale interessato di assicurare una manifestazione di volontà in senso positivo (opt in) in termini di consenso libero, specifico, informato e inequivocabile dell’interessato (ex articolo 9, paragrafo 2, lettera a) RGPD).

Sulla contrattualizzazione dei dati personali

Oltre agli insegnamenti in merito al riconoscimento della Titolarità del trattamento in capo a un soggetto, a prescindere dalla qualificazione formale operata o dichiarata dalle parti, un aspetto particolarmente rilevante del Provvedimento del 1° giugno scorso consiste nella riflessione in merito alla “contrattualizzazione” delle attività di trattamento.

Il rapporto tra THIN e MMG è infatti definito come un “contratto a prestazioni corrispettive”, il cui sinallagma vede, da un lato, l’impegno a fornire dati anonimizzati, e dall’altro la retribuzione correlata a tale impegno.

Se è pur vero che, come si augura l’Autorità, THIN abbia agito in buona fede ritenendo di non stipulare un contratto relativo alla cessione di dati personali, resta il fatto che gli stessi ne hanno costituito direttamente l’oggetto.

A tale proposito assume rilievo la riflessione dell’Autorità stessa che afferma:

“La disciplina in materia di protezione dei dati personali non è volta ad ostacolarne il trattamento, né la libertà di iniziativa economica privata o l’attività di ricerca, che fondano parte del loro buon esito proprio sull’uso di dati anche di carattere personale, ma ad assicurare che tali attività vengano svolte nel rispetto dei diritti e delle libertà fondamentali degli interessati e soprattutto nel rispetto dell’autodeterminazione informativa degli interessati ai quali deve essere assicurato, in piena trasparenza, il controllo e la gestione del proprio patrimonio informativo (cfr. cons 41 del Regolamento). [Nel caso in esame, tuttavia,] si rileva come estremamente critica la riscontrata patrimonializzazione di dati personali (per altro inerenti allo stato di salute) che il richiamato sinallagma produce a vantaggio di soggetti terzi e nella sostanziale ignoranza degli interessati (pazienti dei MMG)”.

L’interprete potrebbe leggere l’ultima citazione come una conferma definitiva dell’indisponibilità dei dati personali da parte dell’interessato, coerentemente con la riflessione della dottrina più tradizionale che ritiene che essi, al pari degli altri diritti della personalità, non possano mai divenire oggetto di contratto.

Chi invece ritiene che il dogma dell’intrasmissibilità inter vivos (inteso come extra patrimonialità e indisponibilità) dei diritti della personalità sia ormai stato superato dalla prassi, potrà ricavare delle conferme indirette dalla citazione sopra riportata.

La stessa potrebbe infatti essere letta nel senso che non vi sia alcuna preclusione “generale” a che i dati personali possano essere oggetto di circolazione, con la specifica che qualsivoglia atto dispositivo l’interessato acconsenta a realizzare debba essere sempre guidato da alcuni indefettibili presupposti:

  • il rispetto dei principi del GDPR;
  • l’informazione e la trasparenza in merito alle implicazioni delle scelte;
  • il riconoscimento dell’autodeterminazione dell’interessato nelle scelte inerenti ai propri diritti fondamentali.

Questa prospettiva permette di legittimare la circolazione del diritto alla data protection senza negare il valore della persona umana e senza ridurre a merci di scambio i diritti che si riconducono ad essa.

Conclusioni

Chi scrive ritiene che il dibattito sia ben lungi dall’essere esaurito in merito alla tematica ma, al contrario, che il vero sviluppo dello stesso si potrà avere nei prossimi anni, in ragione dell’evolvere della società e della rimodulazione dei valori che la contraddistinguono tenendo comunque come riferimento i principi sanciti dalla Costituzione e dalle Carte Fondamentali dell’Unione e, non ultimo, dal RGPD.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati