Dati e ricerca, il Garante Ghiglia: «Siamo una garanzia, non un ostacolo»
Intervista a Agostino Ghiglia, componente del Garante per la protezione dei dati personali
(di Enrico Sbandi, INNLIFES, 1 agosto 2024)

Competenza, Curiosità, Concretezza. Le tre C, per una volta, non sono riferite a un buon caffè – passi l’impertinenza -, ma a un’Authority. Agostino Ghiglia parla a partire da un’esperienza robusta, che gli consente di puntare alle soluzioni, prima che ai vincoli. È spinto da una voglia di scoprire che lo porta a smanettare su computer e tablet in modo da sperimentare direttamente e tradurre in vissuto i temi sui quali è chiamato a intervenire, come componente del collegio del Garante per la Protezione dei Dati Personali. L’Autorità che ha chiesto patente e libretto a una ChatGPT che viaggiava a mille all’ora, prima al mondo a porre il problema della tutela dei dati delle persone nei terabyte di informazioni fatte ingurgitare ai computer per addestrare gli LLMs, i modelli di linguaggio dell’AI. Procurandosi nemici e anche calamitando minacce.

Il tema è delicato assai quando si parla dei dati sensibili delle cartelle cliniche. Dove c’è da intervenire col bilancino per fare equilibrio a due diritti delle persone: quello alla salute e quello alla riservatezza dei propri dati. Come ci si regola, dottor Ghiglia?

«Dipende da quale dato si sta trattando e perché. Se ne valuta innanzitutto la rispondenza al principio di finalità del trattamento contenuto nel regolamento europeo sui dati personali. Se devo subire un intervento è del tutto legittimo che il chirurgo abbia il quadro della mia situazione. Questo non vuol dire che chiunque, nel medesimo ospedale, possa aprire e frugare nella mia cartella clinica.
La finalità, da sola, non basta. La libertà di accesso ai miei dati va commisurata alle necessità, secondo proporzionalità. Il Fascicolo sanitario elettronico, quando sarà operativo, renderà tutto più semplice».

Argomento caldo, quello del FSE. Sembra che stiano alzando la voce i no-fascicolo. Non bastavano i no-vax?

«Va fatta la differenza fra dati a uso del privato, il rapporto del singolo con la Sanità, e gli stati d’emergenza, i trattamenti sanitari obbligatori che anche la Costituzione prevede. Durante la pandemia, in un primo periodo si pensò che fare strame di dati personali eccedenti le finalità per cui si sarebbero voluti usare, equivalesse a meglio contrastare la malattia. E così sarebbe andata, se non ci fosse stata l’attenta vigilanza del Garante. Ma al pizzaiolo, per farmi entrare nel suo locale, non doveva e non poteva interessare dove abitassi o eventuali mie patologie del passato. Noi intervenimmo avvertendo il Governo: nella versione originale del green-pass c’erano tutti i nostri dati, mentre, come avvenuto nelle edizioni successive, bastavano nome, cognome, data di nascita e spunte verdi per indicare tampone o vaccino».

Nel fascicolo sanitario i dati sono completi…

«Dentro ci sarà tutta la mia storia clinica a partire dal novembre 2020, sia pubblica che privata, salvo che io non eserciti il mio diritto di opposizione e di recesso. Per la parte precedente quella data il Garante ha prescritto a Stato e Regioni delle campagne informative per rendere edotto il cittadino che – per i dati antecedenti al 2020 – era sua facoltà opporsi all’inserimento dei medesimi nel Fascicolo. L’hanno esercitata in pochi. È una scelta che attiene alla sfera intima della persona, alla sua cultura, alla sua eventuale religiosità o spiritualità. Nel frattempo abbiamo dovuto avvertire tutte le Regioni italiane perché ci sono disparità e non è possibile far partire uno strumento del genere finché sussisteranno 20 sistemi segnati da differenze che non consentono di garantire questi diritti in modo omogeneo».

In Life Science e Digital Health il dato è merce ancora più preziosa. Quanto si può e si deve essere elastici nel tutelarne la riservatezza se la finalizzazione di cui al principio è inquadrata con un’ottica più ampia?

«Una recente modifica al Codice della Privacy, determinata da un nostro intervento, riguarda l’articolo 110 (approvata con l’articolo 44 del d.l. 2/3/2024 n. 19, ndr.). Non serve più il nulla osta del Garante, al quale va solo data comunicazione, resta la valutazione di impatto preventivo con il consenso del comitato etico territoriale. Il codice italiano sulla privacy non ostacola le attività di ricerca, invito chi sostiene il contrario a dimostrarlo con le carte. Nei quattro anni di mia esperienza presso l’Autorità su una ventina di ricerche in un solo caso è mancato il nulla osta, in un altro paio sono stati richiesti chiarimenti, da parte nostra c’è sempre stato un accompagnamento volto a favorire la ricerca. La nuova formulazione dell’art. 110 agevola ancora di più questo percorso. Ogni volta che si parla di protezione di dati personali è difficile generalizzare. Perché tante ricerche non devono necessariamente essere condotte “in corpore vili”, si possono fare anche su dati sintetici, posso lavorare su dati statistici».

Ci sono casi però nei quali non si può prescindere dal dato specifico sulla persona. Come regolarsi?

«In casi puntuali, dalla finalità indubbia, basta rifarsi, anche qui, al Codice. Si può prescindere dal consenso laddove raccoglierlo risulti davvero impossibile, dimostrando di aver fatto di tutto per sollecitarlo. Se poi vuoi mettere assieme indiscriminatamente dati e fare ricerche randomiche sulla qualunque, magari dandole in pasto alla – pur utilissima – Intelligenza Artificiale, il Garante si fa sentire. Il webscraping, no. Qualche mese fa abbiamo emanato linee guida proprio per dare limiti alla possibilità di accedere e raccogliere dati pubblici, ad esempio, per allenare gli algoritmi. Se intendo gestire e adoperare dati devo essere sempre in grado di dimostrarne la fonte, l’autorizzazione espressa a prenderli, il consenso per sfruttarli. C’è un bilanciamento di esigenze. Non sempre gli obiettivi riguardano la salute pubblica, magari parliamo di ricerca scientifica tesa a sviluppare medicinali. Tutto giusto e corretto, purché avvenga nel bilanciamento dei diritti delle singole persone, compreso quello di revocarlo, abbiamo il diritto di dare il nostro consenso di sottoporci o meno a un certo tipo di ricerca. Non esistono solo le esigenze della scienza. Ci sono quelle della democrazia, della persona e, soprattutto, quella di garantire la libertà».

Se vi arriva notizia di violazione?

«Quando anche una singola persona notifica una ricerca condotta senza che sia stato raccolto il consenso, al Garante tocca aprire un’istruttoria per capire se il promotore di quella ricerca abbia fatto tutto quanto nelle sue possibilità per ottenere quel consenso. Ma voglio rassicurare il cittadino, i dati anche su gruppi ristretti e individuati di persone affette da una determinata patologia sono presi e catalogati sempre dopo essere stati resi anonimi. Fondamentale a quel punto è che i processi di anonimizzazione siano seri, ai fini statistici occorrono età, patologia e decorso della malattia, non servono nome, cognome e indirizzo. Indispensabile è che il dato non sia rinominizzabile, che non sia possibile il percorso inverso. Su questo l’Autorità è inflessibile».