Tra una settimana, dal 12 dicembre, tutti i dati sanitari sulla salute degli italiani — purché siano resi anonimi — potrebbero essere trasferiti dagli enti pubblici che li hanno raccolti, le Asl e le Regioni, alle multinazionali che chiedano di usarli nella ricerca scientifica.
Che sia un bene (si aiuta enormemente la ricerca, abbreviando i tempi e mettendo al lavoro le intelligenze artificiali) o un male, dipende in larga misura dall’impossibilità di garantire un anonimato totale e indissolubile: è il motivo per cui la nuova legge europea numero 167 del 20 novembre, già recepita e pubblicata in Gazzetta ufficiale, sta facendo tremare i polsi e solleva un’onda di polemiche.
La legge europea ha emendato la normativa sulla privacy consentendo il trasferimento di dati sensibili a fini scientifici o statistici « a condizione che siano adottate forme preventive di minimizzazione ( cioè si consegnino solo i dati necessari a ogni singolo progetto autorizzato) e di anonimizzazione ritenute idonee a tutela degli interessati ». La novità spiana la strada verso l’eventuale accordo, ipotizzato tra Ibm e governo, per realizzare a Milano il centro Watson Health della multinazionale dedicato al sistema cognitivo di intelligenza artificiale applicato alla sanità: ne era una precondizione perché offre la possibilità di alimentare il cervellone con i dati che, assicura Ibm, «sarebbero trattati in base a regole precise e chiare, coinvolgendo le associazioni e tutti quelli che hanno voce in capitolo. Siamo convinti che con quei dati e una magnifica tecnologia potremo essere di grande aiuto per medici e pazienti». Nomi e cognomi, o se hai comprato il Viagra o hai malattie invalidanti, giurano non interessi affatto.
Dunque è un pericolo o una risorsa, questo possibile trasferimento di dati? E come avverrebbe? Per il garante della Privacy, Antonello Soro, « sembra che la norma preveda un sistema di garanzie che, se correttamente utilizzate, possono conciliare la ricerca scientifica e il diritto alla privacy».
Ogni richiesta di consegnare i dati delle cure dei pazienti deve ottenere il via libera preventivo del garante. « L’ordinamento italiano ed europeo lo condiziona a precise procedure di cautela: devono dimostrare la sussistenza di adeguate misure capaci di assicurare che il dato sia davvero anonimo » . Il punto è decisivo. Purtroppo, spiega Soro, «l’anonimizzazione assoluta non esiste. Con alcune tecnologie è possibile reidentificare la persona cui appartenevano i dati » . Per esempio, «se trasferisco un dato che considero anonimo, senza nome e cognome o elementi identificativi, a un soggetto a cui ieri ho dato altre informazioni che ti riguardano, quel soggetto con poche operazioni ritrova il tuo nome. Ecco, questo deve essere reso ragionevolmente impossibile » . Per questo la nuova legge prevede il principio del diritto-diniego: se entro 45 giorni il garante non avrà risposto a una richiesta di trasferire i dati, quella richiesta è automaticamente cassata.
Ma a surriscaldare i nervi di chi teme il rischio che i dati riacquistino nomi e cognomi e finiscano dove non avremmo voluto, come succede comunemente con i nostri acquisti o i nostri spostamenti per cui a volte pare di precipitare in un Truman Show, c’è anche il fatto che non la nuova legge esclude l’onere di chiederci l’autorizzazione al trattamento, o quantomeno di informarci. Ma anche questo non preoccupa il garante: « Quando si fanno ricerche su centinaia di migliaia di casi non si può andare a chiedere il permesso a ognuno, È giusto chiedere una deroga direttamente al garante».
Repubblica – 6 dicembre 2017
