Nel corso di uno dei suoi svariati e continui interventi in materia sanitaria, l’Autorità Garante in materia di protezione dei dati personali è nuovamente intervenuta sulla delicata tematica dell’anonimizzazione del dato sanitario, che non sempre può dirsi effettuata in maniera efficace (soprattutto se, come spesso accade, la si confonde con la misura “regolamentare” della pseudonimizzazione), sanzionando una società italiana per violazione della normativa europea (GDPR).
Indice degli argomenti
Mancata anonimizzazione di dati sanitari: l’istruttoria del Garante
Il Collegio dell’Autorità è intervenuto su segnalazione di un medico di medicina generale (MMG) legittimamente sospettoso che una società produttrice di software sanitari – nell’ambito di un progetto di ricerca internazionale – potesse trattare i soli dati anonimi dei pazienti.
Un progetto “made in Italy” (con un Promotore italiano), quello sotto la lente del Garante, che prevede(va) la raccolta presso i medici di medicina generale di dati (“presunti”) anonimi che confluissero in una raccolta e analisi di dati clinici – anch’essi, presunti – anonimi a livello internazionale con l’obiettivo di garantire progressi nella cura del paziente ed accrescere la comprensione del percorso di cura del paziente.
Per le finalità del progetto, i medici di medicina generale avrebbero dovuto utilizzare un “modulo aggiuntivo” di un software (di un’azienda italiana) già largamente in uso presso i loro studi; si parla di ben sedicimila utenze attive presso altrettanti medici di medicina generale in tutta Italia).
Un modulo aggiuntivo che avrebbe dovuto consentire di effettuare automaticamente il processo di “anonimizzazione” dei dati in tutta sicurezza, con conseguente trasmissione “diretta” degli stessi alla società proprietaria del software.
Tuttavia, nel corso della sua indagine, l’Autorità Garante ha appurato che il modulo aggiuntivo preordinato all’anonimizzazione dei dati non consentiva affatto l’anonimizzazione delle informazioni sanitarie (e, quindi, dei dati personali dei pazienti) a disposizione dei medici di medicina generale.
A detta dell’Autorità di Piazza Venezia, infatti, la società fornitrice del software di progetto ha effettuato un trattamento illecito di dati personali in quanto tali dati non sarebbero stati previamente anonimizzati, bensì “pseudonimizzati”, comportando di conseguenza la violazione dei principi di liceità, correttezza e trasparenza alla base del GDPR.
Come prescrive il Regolamento Europeo – e come ribadito dal Comitato Europeo per la Protezione dei Dati (EDPB, Linee guida 4/2019) e dal “padre” di quest’ultimo, il Gruppo Articolo 29 (WP29, parere 05/2014), la mera sostituzione del codice identificativo attribuito agli interessati non costituisce affatto anonimizzazione.
Anonimizzazione di dati sanitari: cosa impariamo dalla sanzione
Facendo maggiore chiarezza sul binomio pseudonimizzazione-anonimizzazione che, come affermato, vengono spesso confusi, le due tecniche sono totalmente differenti.
La pseudonimizzazione è “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Art. 4 n. 5 del GDPR”).
Tale tecnica è applicabile quando si vuole che, per determinate finalità del trattamento, sia necessario che l’interessato non risulti più identificabile “a ritroso”, se non per particolari situazioni.
È ciò che si verifica, ad esempio, negli studi clinici, quando il centro partecipante ad una sperimentazione multicentrica invia i dati personali dei pazienti reclutati al promotore di detto studio.
In questo caso il promotore può ricevere unicamente dati pseudonimizzati da parte del centro; quest’ultimo, invece, ben può identificare nuovamente i propri pazienti “codificati”.
La mancanza di non-reversibilità è, in altre parole, ciò che divide la pseudonimizzazione dall’anonimizzazione, ossia ciò che separa una tecnica che rientra nel GDPR da un’altra che ne è estranea.[1]
Da ciò si desume, in soldoni, la ratio sanzionatoria del Garante sul punto, che si è estesa anche al – ribadito – concetto della titolarità del trattamento, che spetta sempre a colui il quale (persona fisica o giuridica che sia) determina le finalità e le modalità del trattamento; nel caso in esame, la società è risultata essere titolare nelle operazioni di anonimizzazione (e non i medici di medicina generale come da essa determinato e ribadito).
NOTE
La pseudonimizzazione non sempre rientra nel GDPR: il “punto di vista” del Tribunale UE. Cybersecurity360. ↑
