Audizione informale del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Esame delle risoluzioni Loizzo n. 7-00183 e Girelli n. 7-00183, in materia di raccolta e utilizzo dei dati sanitari

Camera dei deputati - Commissione XII Affari sociali

(13 febbraio 2024)

Ringrazio per quest’invito che consente un confronto, quantomai opportuno, su di un tema così rilevante, quale quello oggetto delle risoluzioni Girelli e Loizzo. Esse affrontano, infatti, da prospettive sostanzialmente affini, la questione del rapporto tra privacy e sanità, da inscrivere all’interno di quel più generale bilanciamento tra salute e dignità della persona, sotteso all’art. 32 Cost.

Le risoluzioni impegnano il Governo, in estrema sintesi, a valorizzare la circolazione dei dati sanitari a fini di ricerca, cura e governo clinico. E questo tanto sul piano interno- promuovendo percorsi digitalizzazione della sanità già avviati, ma ancora suscettibili di estensione- quanto sul piano europeo, sostenendo l’approvazione del Regolamento sullo Spazio europeo dei dati sanitari. Il Garante non può che condividere quest’obiettivo, non senza sottolineare, ovviamente, l’esigenza di conformare ogni passaggio di questo percorso alla disciplina di protezione dati.

Come sottolineano le risoluzioni, è infatti indispensabile proteggere i nostri dati e quelli sanitari in particolare, la cui natura è straordinariamente ambivalente. Essi sono, infatti, prezioso strumento di garanzia del diritto alla salute e alle cure (che, con lungimirante affermazione, la nostra Costituzione assicura anche “agli indigenti”), anche nella componente solidaristica della destinazione a fini di ricerca ma, al tempo stesso, prezioso frammento della vita più intima di ciascuno, da proteggere da indebite ingerenze o strumentalizzazioni. Non a caso, tra le prime norme dell’ordinamento sulla riservatezza si annoverano proprio quelle inerenti i dati sanitari, da proteggere per evitare fughe dalla diagnosi e dalla terapia, così da costruire, sulla base dell’affidamento riposto nel segreto professionale, quel rapporto strettamente fiduciario tra medico e paziente che costituisce l’architrave della disciplina odierna e della giurisprudenza sull’autodeterminazione terapeutica.

E questo, proprio per la natura assolutamente peculiare dei dati sanitari: ipersensibili, avremmo detto anni fa, perché espressivi della più autentica essenza della privatezza: del corpo, delle sue patologie, delle sue carenze, delle sue irregolarità e per questo suscettibili di esporre il singolo alle più meschine discriminazioni, stigmatizzazioni, classificazioni.

Non a caso, i dati sanitari sono tra quelli che beneficiano della maggiore tutela accordata dall’ordinamento: misure di garanzia rafforzate, presupposti di liceità del trattamento particolarmente stringenti, declinazione più tassativa del canone di proporzionalità, pari rango quale criterio rigoroso di legittimazione dell’accesso anche soltanto documentale, stretta indispensabilità a fini informativi quale parametro di ammissibilità della comunicazione giornalistica, divieto di divulgazione

Queste garanzie vanno assicurate anche – a maggior ragione – in un contesto di sempre più marcata digitalizzazione della sanità che va, tuttavia, inscritta all’interno di un progetto organico e lungimirante di governance sanitaria. Esso deve, in particolare, minimizzare i rischi cibernetici e promuovere una condivisione selettiva dei dati, ammettendone anche (come prevede il Regolamento sullo spazio europeo dei dati sanitari) la destinazione solidaristica, anche a fini di ricerca, ma con le dovute cautele per evitare ogni indebita reidentificazione degli interessati e discriminazione per gruppi (rischio tanto più elevato ove i dataset sui quali si fonda la decisione algoritmica non siano rappresentativi o sottendano comunque pregiudizi di genere, etnia, condizioni sociali o appunto di salute, ecc.).

La protezione dei dati personali è, in tal senso, una componente essenziale di questo percorso, rappresentando tanto un elemento di garanzia del singolo, quanto un fattore di appropriatezza della governance sanitaria e di fiducia dei cittadini nella sanità..

Vi è infatti, certamente, l’esigenza di proteggere sistemi sanitari che, quanto più informatizzati e interoperabili, appaiono tanto più vulnerabili, esposti ad attacchi cibernetici mai come in questo settore tanto estesi. E l’attacco sferrato, tramite i sistemi informatici, alle reti sanitarie può avere effetti così devastanti da determinare (come nel caso statunitense di qualche anno fa) la paralisi di interi presidi sanitari, che vanno dunque protetti soprattutto nella loro infrastruttura tecnologica.

Ma del resto, una tecnologia non ben governata può aumentare esponenzialmente il rischio clinico in cui si riflette il rischio informatico, ove ad esempio i dati su cui si fonda la diagnosi siano alterati.

E’ un tipo di rischio, questo, sempre più frequente con il ricorso a big data, sistemi di intelligenza artificiale e algoritmi, che se vengono “allenati” con dati errati o serie statistiche non rappresentative, rischiano di condurre a diagnosi sbagliate e talora, finanche, a vere e proprie discriminazioni, peggiori di quelle da cui la potenza di calcolo avrebbe dovuto liberarci.

Dall’esattezza dei dati utilizzati nella configurazione degli algoritmi dipende, infatti, l’“intelligenza” ed equità delle loro scelte.

Se è errata la classificazione delle casistiche di riferimento fornita all’algoritmo per decidere, ad esempio, la natura di una patologia o per valutare un marker, sarà poi la conseguente diagnosi ad essere sbagliata, con effetti potenzialmente anche fatali per il paziente. La qualità ed esattezza dei dati (principi essenziali del Gdpr) sono, in questo senso, un presupposto di efficacia della big data analytics, soprattutto in un settore così delicato come quello sanitario.

Nel Decalogo sull’uso dell’intelligenza artificiale in sanità, adottato dal Garante lo scorso ottobre, si ricordano a tal proposito i principi che presiedono al corretto utilizzo dei dati personali mediante sistemi d’i.a., riconducibili in estrema sintesi ai principi di trasparenza e supervisione dei processi decisionali automatizzati, nonché di non discriminazione algoritmica.

Al momento, nel trattamento dei dati effettuato mediante FSE non è previsto il ricorso a sistemi di i.a., che dovrebbe essere oggetto di una disposizione normativa da sottoporre a parere del Garante e comprensiva di garanzie adeguate per i pazienti. Analoga previsione normativa necessiterebbe l’inclusione, nel FSE- proposta dalle risoluzioni- dei patient reported outcomes, certamente utili a una più completa analisi dell’efficacia delle cure, per migliorarne la qualità anche nella direzione di quella personalizzazione della medicina già auspicata da Umberto Veronesi. Al momento, la nuova disciplina del FSE non è intervenuta sulle finalità di governo clinico e ricerca perseguibili con tale strumento, disciplinate dunque tuttora dal d.P.C.M. n. 178 del 2015 che, pertanto, andrebbe novellato in parte qua.

Naturalmente, come sottolineato nel parere del Garante di giugno 2023 sul FSE e tanto più laddove si intenda estenderne le finalità, è necessario coordinarne la disciplina con i decreti attuativi in materia di sanità digitale e, in particolare, con quello volto a disciplinare l’Ecosistema dei dati sanitari, previsto dall’art. 12., c.15-quater, d.l. 179 del 2012. Solo così, infatti, potrà garantirsi una complessiva coerenza dei sistemi informativi previsti e una loro razionale complementarietà, anche attraverso misure di interoperabilità modulate sulle cautele sancite dal Garante.

Analogamente, l’utilizzo più sistematico (auspicato nelle Risoluzioni) dei registri di patologia a fini di governo clinico e ricerca potrà avvenire estendendone l’ambito applicativo con puntuali modifiche normative da sottoporre, anche in questo caso, al parere del Garante prescritto dall’art. 36, p.4, del Regolamento 2016/679, al fine di assicurare che ciò avvenga nel rispetto delle garanzie sancite dalla relativa disciplina.

Complessivamente, l’impegno al Governo, contenuto negli atti d’indirizzo, alla realizzazione di una campagna di comunicazione istituzionale e sensibilizzazione sulla rilevanza della gestione dei dati sanitari in un modo conforme alle garanzie di protezione dati, non può che trovare d’accordo il Garante, già più volte intervenuto in questo senso: massimamente durante la pandemia ma, anche di recente, rispetto alle nuove frontiere dell’e-health, quali ad esempio il ricorso all’i.a.

Per quanto, infine, riguarda l’impegno, proposto dalle Risoluzioni al Governo, nel sostegno della necessità di approvazione tempestiva del Regolamento europeo sullo spazio europeo dei dati sanitari, si registra positivamente l’evoluzione subita dal testo a seguito dell’approvazione, il 13 dicembre scorso, di alcuni emendamenti che si muovono nella direzione tracciata dal Garante e dal Comitato europei per la protezione dei dati, nel loro parere congiunto, n.3 del 2022.

In particolare, meritano apprezzamento la previsione di maggiori garanzie (conformi a quelle previste dal Data Governance Act) sul terreno dell’altruismo dei dati sanitari (bellissimo esempio di destinazione, a fini solidaristici, dei dati personali e di tale delicatezza) e del ricorso a decisioni automatizzate; l’introduzione dell’opt-in per l’uso secondario di alcuni dati sanitari peculiari, quali quelli genomici o tratti da applicazioni per il benessere e, in via generale, dell’opt-out per l’uso secondario dei dati; maggiori garanzie per l’interoperabilità delle applicazioni per il benessere con i sistemi di cartelle cliniche elettroniche; tutele specifiche per la c.d. group privacy, ovvero specifici divieti di utilizzo discriminatorio dei dati sanitari nei confronti di singoli o gruppi di persone, anche per quanto riguarda offerte di lavoro o condizioni contrattuali.

Proprio l’evoluzione del testo dimostra la consapevolezza di come, sulla sinergia tra innovazione, governance sanitaria e protezione dati si giocherà una sfida sempre più determinante per le nostre società, che dobbiamo impegnarci a vincere nel segno, ancora una volta, della centralità della persona e della sua dignità: quei vincoli che, spiegò Aldo Moro in Assemblea Costituente, neppure l’interesse collettivo alla sanità pubblica può superare.