L’analisi degli articoli del decreto legislativo per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (GDPR) fa emergere l’attribuzione al Garante di un compito molto rilevante di indirizzo tecnologico per il nostro Paese, per esempio per innovare nel settore della Salute e migliorare i sistemi di diagnosi e cura in Italia.
In particolare, sarà cruciale l’adozione di strumenti cosiddetti di soft law (codici di condotta, linee guida) per i trattamenti dei dati genetici, biometrici e relativi alla salute, destinati ad aumentare nei prossimi anni per via delle intensissime attività di ricerca e sperimentazione già oggi in corso.
Da questi trattamenti si attendono grandi innovazioni a beneficio delle condizioni di salute delle persone e per il miglioramento della qualità generale della vita (vedi anche le sfide per la Sanità dal Gdpr).
Ue: i dati saranno gli abilitatori della nuova sanità
La Commissione Europea in una recente Comunicazione (“Enabling the digital transformation of health and care in the Digital Single Market” del 25 Aprile 2018) ci dice che i dati saranno gli abilitatori della nuova sanità, e che la frontiera nella cura è la personalizzazione, dalle fasi di ricerca alla progettazione dei nuovi farmaci. La European Medicines Agency ha di recente istituito un board di esperti a livello mondiale per l’uso nel pubblico interesse dei clinical records delle aziende farmaceutiche in forma anonimizzata, per incrementare l’efficacia della cura delle patologie esistenti e per la scoperta di nuove malattie. Questi esempi ci danno un’idea dell’interesse delle istituzioni europee sul tema della sanità digitale.
Occorre subito precisare che il decreto di adeguamento ha lo scopo di integrare il Regolamento generale per le parti che è consentito agli Stati disciplinare, in stretta coerenza con il quadro normativo europeo, e dunque in questa azione di indirizzo il Garante non può modificare le condizioni che rendono possibile il trattamento dei dati genetici, biometrici e relativi alla salute. Queste sono disciplinate dall’art. 9 del Regolamento Europeo. Ciò che il Garante potrà (e dovrà) fare è individuare le misure di garanzia valide in Italia perché questi dati possano essere oggetto di trattamento. Lo chiarisce il nuovo art. 2 (septies) del decreto.
Le misure di garanzia del nuovo art. 2 (septies)
È bene soffermarsi su alcuni aspetti di questo articolo. Intanto, la scelta operata dal legislatore di fissare una durata biennale per la validità di queste misure di garanzia. Si tratta di un settore data intensive, guidato dalla velocità dei calcolatori e dall’accuratezza dei modelli matematici predittivi, le cui prestazioni aumentano con legge esponenziale. Le garanzie dovranno tenere lo stesso passo dell’evoluzione tecnologica e richiederanno di essere continuamente aggiornate. Quindi, l’elencazione analitica delle misure di garanzia. Queste riguardano la sicurezza, inclusa la pseudonomizzazione dei dati, la minimizzazione, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.
I temi sul tavolo sono molti e qui si può solo accennarli, giusto per dare un’anticipazione del delicato compito che il Garante sarà chiamato a svolgere. Sono tutte garanzie già presenti nel Regolamento generale e che dovranno essere interpretate tenendo conto delle categorie dei dati a cui le misure si applicano e, se possibile, delle specificità nazionali. Non ci si riferisce ovviamente ad una diversità italiana nei dati genetici, biometrici o relativi alla salute. Ma a una specificità “di sistema”: un Paese che individui degli standard di garanzia elevati offre un forte segnale alle grandi aziende multinazionali che investono in questo settore. In Italia le cose si fanno per bene e ha senso investire qui in ricerca e sviluppo. Sulla applicazione di questa parte del decreto si gioca dunque la possibilità concreta di creare una “asimmetria virtuosa” con altri Paesi capace di attrarre investimenti, non in ragione di minori regole e più facili adempimenti, ma al contrario per un impegno del nostro Paese a garantire qualità, competenza e dunque risultati.
La sicurezza come principio
La sicurezza è la prima delle misure di garanzia. Qui la novità di maggior rilievo già introdotta dal Regolamento europeo, che sempre dovrà ispirare le scelte, è l’elevazione della sicurezza a principio dei trattamenti (non lo era con la Direttiva). Questo significa che la sicurezza non è soltanto una buona prassi tecnico organizzativa, la cui assenza non invalida il trattamento, ma un vero e proprio prerequisito necessario, ai sensi dell’art. 5 del Regolamento generale, senza il quale il trattamento non può avvenire. Se consideriamo che la spesa in sicurezza delle informazioni oggi in Italia è pari allo 0,05% del PIL (ovvero, circa l’1% del totale delle spese del comparto ICT), ci accorgiamo che siamo molto lontani dal considerare la sicurezza un principio.
Per muovere queste cifre occorre un cambio di paradigma. La sicurezza non serve soltanto a difendersi, ma a ridurre falsi positivi, errate attribuzioni, ritardi nell’erogazione di una prestazione. Gli strumenti della sicurezza possono fare molto per ridurre questi inconvenienti. Questo è ciò che dobbiamo attenderci da una sicurezza concepita come principio: che le cose funzionino bene, con un crescente livello di affidabilità e di fiducia, e che non sia la persona a farsi carico del buon funzionamento della macchina o a sopportarne il malfunzionamento. Purtroppo falsi positivi, errate attribuzioni e ritardi ancora si verificano in molti settori, e in quello sanitario, come sappiamo, essi possono avere conseguenze fatali per la persona, oltre ad arrecare seri impatti ai congiunti e ai familiari. La pseudonimizzazione è uno degli strumenti che il Regolamento ha individuato per elevare la sicurezza a principio: l’impiego estensivo e oculato di queste tecniche di cifratura consente infatti sia di ridurre sia i casi di conflitti tra i dati, all’origine di molti degli inconvenienti ricordati, sia di allocare correttamente le responsabilità riducendo gli errori in catene dei trattamenti che si allungano, coinvolgono attori dislocati su una scala ormai planetaria e non di rado si avvalgono di processi automatizzati per molte fasi del trattamento.
La minimizzazione
La minimizzazione è la seconda garanzia. Da sempre è un principio della protezione dei dati, ma esso è stato interpretato in termini quantitativi: se il dato non serve non si usa. Ciò non è da stimolo per gli scenari di sviluppo accennati che puntano sulla scoperta, che come tale non può essere predeterminata. Le tecniche di data mining ci offrono oggi la possibilità di dare un nuovo significato al principio di minimizzazione. È concretamente possibile conciliare le esigenze di pubblico interesse di una più accurata conoscenza delle patologie, senza sacrificare la sfera personale degli individui, intervenendo sul potere identificativo dei dati, in modo da estrarre il maggior numero di informazioni di contesto utili alla ricerca senza per questo esporre la persona a una pubblica conoscibilità di ogni aspetto della sua vita, e in particolare di quelli che hanno a che fare con lo stato di salute. Molte sono le tecnologie ormai consolidate a disposizione, dalla k-anonimity alla differential privacy, per contemperare con successo il pubblico interesse a una “healtier society”, una società più sana, per usare la terminologia della Commissione Europea, e il diritto fondamentale della persona alla protezione dei suoi dati.
Le misure necessarie a garantire i diritti degli interessati
Infine, le misure necessarie a garantire i diritti degli interessati. Innanzitutto il diritto a essere informati, attraverso azioni che rendano il più possibile semplice (ma non banale) ciò che è per sua natura complesso. Quindi il diritto della persona a mantenere una centralità in questi processi così articolati. Quali siano le modalità per garantire alla persona di essere soggetto e fine della ricerca e non semplicemente una miniera di dati è la sfida più impegnativa. Varrà la pena in questo esercizio di riflettere sull’applicazione delle possibilità che il Regolamento europeo ha introdotto, dal diritto alla portabilità dei dati (all’art. 20), alla possibilità di ingegnerizzare trattamenti che non richiedano l’identificazione degli interessati (all’art. 11). E in particolare si dovrà ragionare su forme il più possibile standardizzate per l’esercizio di questi diritti. Non si può pensare a tecnologie di nuova generazione per i la ricerca e per i servizi e a tecnologie di vecchia generazione per la privacy. Verrebbe meno la fiducia nei benefici dell’innovazione.
Un percorso complesso
È un percorso, anche culturale, molto complesso, che il Regolamento induce gli Stati ad avviare e il decreto legislativo chiama il Garante a favorire con concrete indicazioni. Il fatto poi che le violazioni alle misure di che il Garante individuerà invalidino il trattamento e siano sanzionabili penalmente (nuovo art. 167 del decreto) è un segno dell’importanza che a livello di sistema il legislatore attribuisce a queste garanzie. È appena il caso di osservare che la natura “sensibile” dei dati a cui queste misure si applicheranno renderà queste garanzie a maggior ragione idonee per i trattamenti di ogni tipo di dati, costituendo per tutti i trattamenti un riferimento in termini di tutele verso il quale tendere.
Il Garante ha una competenza riconosciuta a livello europeo su questi temi ed è perfettamente consapevole dell’importanza della sfida, per la quale occorreranno competenze molto specialistiche. L’innalzamento del limite del ruolo organico dell’Autorità (nuovo art. 156 del decreto) trova anche nelle esigenze qui rappresentate la propria ragion d’essere.
Decreto Gdpr, le urgenze dopo l’entrata in vigore (19 settembre)
