(Public Policy - stradeonline.it) E’ vero, come stanno sostenendo autorevoli giuristi, che l’Italia starebbe regalando i nostri dati sanitari alle multinazionali dell’IT, in particolare ad IBM, per consentire il perfezionamento dei loro strumenti di intelligenza artificiale?

L’accusa è formulata in relazione a una norma recentemente approvata dal legislatore italiano con la Legge Europea 2017, che introduce un articolo 110-bis al nostro Codice Privacy, secondo il quale sarebbe possibile per il Garante per la protezione dei dati personali autorizzare il riuso di dati sanitari, esclusi quelli genetici, per finalità di ricerca statistica e scientifica e senza dover richiedere il consenso degli interessati per tale riuso.

Ciò darebbe modo a terze parti, quali società dell’IT, farmaceutiche, ma anche università, ospedali e via elencando, di recuperare dati sulla salute degli italiani prestati in altri contesti, ad esempio nella fruizione di cure mediche, oppure contenuti in Fascicoli Sanitari Elettronici, senza dover chiedere agli interessati specifici ulteriori consensi, a condizione che tali dati subiscano un processo di anonimizzazione o minimizzazione, e che l’attività ulteriore sia autorizzata dal Garante.

Lo dico subito: se anche la legge nazionale in questione avesse avuto in mente di favorire qualcuno nello specifico, lo avrebbe fatto comunque meno (oltre che peggio) del Regolamento europeo sulla privacy che diventerà efficace a maggio 2018. Ciò perché la disciplina europea – prevalente su quella italiana - prevede un regime più liberale per il trattamento e il riutilizzo di tali dati. Stabilisce infatti l’articolo 9 del Regolamento che i dati sanitari possano essere trattati in esenzione dal consenso degli interessati se “il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

Insomma, nell’operazione di contemperamento tra l’interesse pubblico alla ricerca scientifica e il diritto alla protezione dei dati personali, anche supersensibili quali i sanitari, il legislatore europeo dichiara il proprio favore, a certe condizioni, per il primo. E prova ne è anche il disposto del Considerando 50 del Regolamento, secondo cui “Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. (…) L'ulteriore trattamento a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica o a fini statistici dovrebbe essere considerato un trattamento lecito e compatibile. La base giuridica fornita dal diritto dell'Unione o degli Stati membri per il trattamento dei dati personali può anche costituire una base giuridica per l'ulteriore trattamento (…)”.

Ricapitolando, dunque, c’è una disciplina europea che, pur responsabilizzando moltissimo le organizzazioni titolari di dati personali sulle scelte tecniche ed organizzative da intraprendere, favorisce la circolazione dei dati, anche sanitari, per finalità di ricerca scientifica, per le quali addirittura opera una presunzione di compatibilità con i trattamenti primari. Ad esempio, se ho raccolto i dati sanitari nel contesto di una sperimentazione clinica per un farmaco antitumorale, il successivo riuso di tali dati per finalità sempre di ricerca scientifica, ma orientate allo sviluppo di applicazioni di medicina predittiva è ritenuto compatibile col primo.

Il legislatore interno interpreta tale disciplina, e in particolare i requisiti di proporzionalità e minimizzazione dei dati personali (il Regolamento infatti recita “sulla base del diritto dell'Unione o nazionale, che proporzionato alla finalità perseguita” ecc), incardinando una funzione di controllo preventivo sul Garante per la protezione dei dati personali, con ciò burocratizzando il processo di ricerca e ingessandolo rispetto al paradigma più liberale e più neutrale del Regolamento privacy. E ciò che è ostacolo regolatorio frapposto dall’Italia al pluralismo della ricerca, viene interpretato da alcuni addetti ai lavori come esempio di spregiudicato laissez faire confezionato da qualche solerte funzionario legislativo a favore di qualche portatore di interessi.

E’ una lettura che non mi convince, per quanto sospetta possa apparire la fretta del legislatore italiano di mettere le mani su una materia tanto delicata, nelle more dell’emanazione di un decreto legislativo di coordinamento della disciplina interna con quella europea (previsto dalla legge di delegazione europea) e a 5 mesi dalla piena efficacia della normativa europea. Ciò detto, il nuovo 110-bis del Codice Privacy è scritto male e contiene svarioni tecnici già evidenziati da altri autorevoli commentatori, su cui non mi tratterrò oltre, ma che militano a favore della tesi per cui sarebbe stato auspicabile non far niente, invece che far di fretta e male qualcosa in un settore tanto complesso.

Ben venga comunque la discussione su temi così di frontiera, perché il riutilizzo e la ricombinazione di dati personali, e massime di dati sensibili, o genetici, attraverso la loro rielaborazione algoritmica, è una questione talmente imponente da investirci come individui, consumatori, professionisti e società sotto molteplici punti di vista.

Viviamo una fase di straordinarie opportunità tecniche e smisurati pericoli, in un’economia dell’infosfera, per citare Luciano Floridi, dominata da un capitalismo che tende verso assetti oligopolistici capaci di comprimere il pluralismo tipico dell’economia di mercato, che sarebbe l’unica vera garanzia contro le concentrazioni di informazioni e, in definitiva, di potere. Una tendenza rischiosa per gli individui e non compresa, quando non proprio assecondata, dai poteri pubblici, che paiono, come da tradizione, il problema principale, più desiderosi di raggiungere quell’ “onniscienza” che mai hanno avuto, e mai avrebbero con un mercato e una società plurali, che di proteggere il pluralismo e le libertà di tutti.

Questa è una discussione politica così delicata da imporre a tutti di rinunciare ai propri riflessi ideologici per comprendere i temi e trovare soluzioni innovative a problemi mai visti.

Questo articolo appare anche su #STRADEBLOG, il primo blog ospitato sul notiziario di un'agenzia di stampa, curato da Strade. Tutti i post di #STRADEBLOG diffusi da Public Policy - grazie per la fiducia e la collaborazione! - sono pubblicati, più o meno in contemporanea, su Strade.

• ricerca
• Scudiero
• privacy
• dati sanitari
• legge europea