È dello scorso primo ottobre il provvedimento n. 175 con cui il Garante privacy ha dato il suo parere alla Provincia autonoma di Trento su uno schema di regolamento concernente la medicina di iniziativa nel servizio sanitario provinciale: in buona sostanza, l’Autorità per la protezione dei dati personali ha suggerito di usare maggiori cautele nell’uso dell’algoritmo, e quindi di big data e intelligenza artificiale, per individuare i pazienti a rischio.
Indice degli argomenti
Big data e AI nella medicina d’iniziativa: il contesto
Il mondo viaggia veloce grazie alla tecnologia. E la Provincia Autonoma di Trento cerca di correre quanto il mondo anche per migliorare l’efficacia delle proprie politiche sanitarie anticipando la diagnosi delle patologie e la loro possibile diffusione.
È quella che si chiama medicina d’iniziativa, che l’art. 4 della legge provinciale n. 16 del 23 luglio 2010 così come modificato dalla legge provinciale n. 3 del 2020 definisce quale “modello assistenziale del sistema sanitario provinciale finalizzato alla diagnosi precoce e alla prevenzione, sia primaria che secondaria, delle patologie croniche e alla conseguente attivazione di interventi mirati al cambiamento degli stili di vita e alla presa in carico integrata e multidisciplinare”.
L’idea si fonda su una analisi spinta dei dati della popolazione residente, perlopiù riguardanti la salute e gli stili di vita, basata sull’intelligenza artificiale e su tecniche statistiche con scopi predittivi.
Le finalità dell’iniziativa
L’ultimo periodo del comma 1‑quinquies dell’art. 4 della legge 16 del 2010 prevede che l’avvio dell’iniziativa sia preceduto dall’approvazione di un regolamento che individui “i tipi di dati personali che possono essere trattati, le operazioni eseguibili, i tempi di conservazione, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato, fermo restando che il risultato del trattamento è rappresentato da dati aggregati”.
Essendo un’iniziativa che, per caratteristiche intrinseche, prevede un intenso trattamento di dati personali, il Garante per la Protezione dei dati Personali è intervenuto proprio sullo schema di tale regolamento per il quale la Provincia di Trento ha chiesto un parere ai sensi del paragrafo 4 dell’art. 36 del Reg. UE 2016/679 (GDPR).
Il provvedimento ha ripreso alcuni elementi critici di carattere generale che lo stesso Garante aveva già espresso nel parere fornito l’8 maggio scorso sulla legge 3/2020 (modificativa dell’art. 4 della legge 16/2010).
In particolare, il Garante ha puntato l’attenzione sulla finalità dell’iniziativa e, quindi, del trattamento avendo come riferimento l’art. 5 del GDPR che prevede che le finalità siano “determinate, esplicite e legittime”: proprio queste caratteristiche risultano piuttosto carenti sia nell’art. 4 della legge 13/2010 sia dello schema di regolamento.
Nel trattamento di dati personali, purtroppo, la genericità della finalità compromette la corretta individuazione delle basi giuridiche del trattamento e, quindi, la sua liceità.
E i sintomi di approssimazione nell’individuazione della base giuridica sono già molto evidenti nella legge 16, art. 4, che, prima, al comma 1‑bis, individua quale base giuridica l’art. 9, par. 2, lett. h) del GDPR (escludendo, quindi, il consenso dell’interessato) e, dopo, al comma 1‑quinquies, prevede che “Il trattamento effettuato, sulla base di tale modello, per finalità di cura, richiede necessariamente la preventiva acquisizione del consenso informato da parte dell’interessato”, intendendo che la base giuridica possa essere l’art. 9, par. 2, lett. a) del GDPR.
Queste incertezze, insieme agli accenti di natura spiccatamente amministrativa presenti nel regolamento trentino, si traducono in un’ipotesi di traslazione della finalità, paventata dal Garante, dalla tutela della salute di cittadini ad obiettivi inerenti la “programmazione, pianificazione e controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale”.
Il lessico improprio
Il quadro normativo offerto dalla Provincia Autonoma di Trento (legge 16/2010 più schema di regolamento) soffre, inoltre, a parere del Garante, di una leggerezza lessicale incompatibile con le definizioni e con i sottostanti princìpi contenuti nel GDPR.
E anche questo appare al Garante un sintomo di genericità del trattamento che si prefigura. La “previsione” e la “predizione” non sono operazioni di trattamento contemplate tra le definizioni dell’art. 4 del GDPR.
Peraltro, predizione e previsione, pur nel loro uso atecnico, corrispondono a concetti che si avvicinano molto alla profilazione definita dal GDPR come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” e che, all’art. 22 dello stesso GDPR, non può essere applicata trattando dati appartenenti alle particolari categorie (tra i quali quelli sulla salute) se non con il consenso dell’interessato (quindi apparirebbe necessario) oppure per motivi di interesse pubblico rilevante che deve essere proporzionato alla finalità perseguita (determinata, esplicita e legittima).
Un ulteriore inciampo riguarda i “dati anonimi”, che vengono riportati nello schema di regolamento ma che non fanno parte dello strumentario lessicale messo a disposizione dal GDPR.
Infatti, il Garante chiede alla Provincia Autonoma di Trento di sostituire questa locuzione con la più opportuna “dati anonimizzati secondo tecniche allo stato dell’arte”. In più, nella sostanza, il Garante richiama ad impiegare tecniche di anonimizzazione che evitino il rischio di single‑out, cioè di far emergere, pur tra dati apparentemente privi di elementi identificativi, alcune informazioni che rendano identificabili uno o più interessati.
La valutazione d’impatto
Tra gli equivoci lessicali ci sono, inoltre, i riferimenti a tecniche quali l’analisi di big data o il machine learning nell’ambito delle operazioni di trattamento.
In realtà, questo nasconde una carenza molto più grave giacché tali tecniche, ovviamente non riportate dal GDPR tra le operazioni di trattamento, sembrano avvicinare ad un tipo di trattamento che “prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” cioè ad un trattamento che rende obbligatoria, secondo il primo paragrafo dell’art. 35 del GDPR, la valutazione d’impatto sulla protezione dei dati personali (DPIA).
Ed è lo stesso legislatore trentino che riconosce la necessità della DPIA perché al comma 1‑bis, art. 4 della legge 16/2010 riferisce che “l’Azienda provinciale per i servizi sanitari, in considerazione della valutazione d’impatto eseguita, è autorizzata a operare la stratificazione del rischio”; purtroppo, però, la DPIA non è mai stata posta all’attenzione del Garante né formalmente né informalmente nonostante, tra l’altro, l’iniziativa preveda l’interconnessione tra diverse banche dati di natura pubblica e privata.
Il percorso dall’inizio alla fine
In definitiva, quello che lascia intendere il Garante, fornendo parere positivo allo schema di regolamento, è che il GDPR non pone ostacoli all’impiego di strumenti evoluti per il trattamento di dati personali.
Quindi, vanno bene i big data e l’intelligenza artificiale ma non si possono avviare trattamenti, anche da parte di soggetti pubblici, se non è stato definito con precisione lo “steccato di garanzie” che si offre agli interessati: è un percorso difficile che parte dalla rigorosa individuazione della finalità ed arriva ad una valutazione del rischio (se necessario ad una DPIA) tesa all’individuazione di misure di sicurezza adeguate.
La mancanza di un tassello o gli inciampi lessicali possono nascondere una scarsa attenzione al rigore metodologico richiesto dal GDPR e, quindi, alla violazione del principio di accountability tanto caro al legislatore europeo.
