Il Decreto PNRR ha introdotto modifiche significative al codice privacy, ridefinendo le basi giuridiche per il trattamento dei dati personali e ponendo l’accento sulla necessità di una gestione sicura ed etica delle informazioni.
Un’attenzione necessaria anche in vista dell’innesto dell’intelligenza artificiale nell’assistenza sanitaria, un settore sensibile e cruciale dove l’impiego dell’IA può portare enormi benefici ma che richiede anche particolari accortezze.
La Piattaforma AI dell’AGENAS rappresenta uno degli esempi d’avanguardia in Italia di come l’utilizzo dei dati possa essere finalizzato a migliorare i servizi sanitari, rispettando al contempo la normativa vigente.
Ma quali sono le implicazioni del trattamento dei dati sanitari alla luce della nuova normativa? E quale ruolo può giocare la pseudonimizzazione dei dati nel sistema sanitario?
Le modifiche al codice privacy introdotte dal Decreto PNRR
Il Decreto-Legge 19/2024 (“Decreto PNRR”) ha modificato l’art. 2-sexies del codice privacy è stato approvato mercoledì 23 aprile: analizziamo allora la modifica per contestualizzarla nel più ampio scenario della spinta del Piano nazionale di ripresa e resilienza (PNRR) verso la sanità digitale. Infatti, la costruzione “a tappe forzate” del PNRR – nel quale i singoli obiettivi devono essere raggiunti entro scadenze precise, pena la perdita dei fondi europei – sta creando notevoli sfide per la protezione dei dati personali ad opera dei player istituzionali coinvolti non solo nella messa a punto, ma anche nella futura gestione del relativo sistema: Ministero della Salute, Istituto Superiore di Sanità (ISS), Agenzia nazionale per i servizi sanitari regionali (AGENAS), Agenzia Italiana per il farmaco (AIFA), Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP).
L’importanza della base giuridica nel trattamento dei dati personali
Perché un trattamento di dati personali sia legittimo, deve esistere un’idonea base giuridica, che in concreto è la risposta alla domanda “a che titolo può avvenire questo trattamento?”. Nel GDPR, per le categorie particolari di dati personali (o, nella dicitura italiana, “dati sensibili”) fra cui i dati relativi alla salute, questa risposta inizia con l’art. 9, che al par. 1 ne vieta il trattamento, ma nelle lettere da a) a j) del par. 2 lo ammette in specifici casi e a determinate condizioni. Secondo l’art. 9.2, lettera g) del GDPR, il divieto sancito in generale dall’art. 9.1 non vale quando il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Il trattamento dei dati sensibili nel settore pubblico deve essere supportato da norme europee o nazionali che definiscono misure appropriate e specifiche.
Nell’ordinamento italiano, la norma di riferimento per il trattamento di dati sensibili nel settore pubblico è l’art. 2-sexies del codice privacy, intitolato «trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante». Anche quest’articolo contiene una regola e un’eccezione. La regola è al comma 1: i trattamenti delle categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante ai sensi dell’art. 9.2, lettera g) del GDPR sono ammessi qualora previsti dal diritto europeo ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino: 1) i tipi di dati trattabili, 2) le operazioni eseguibili 3) il motivo di interesse pubblico rilevante, 4) le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il trattamento dei dati sanitari nel decreto capienze
Sotto il Governo Draghi, l’art. 2-sexies del codice privacy era stato emendato con il Decreto Capienze, che aveva introdotto un comma 1-bis specificamente dedicato ai dati sanitari. Quest’ultimo ne legittimava il trattamento da parte del Ministero della Salute, dell’ISS, dell’AGENAS, dell’AIFA, dell’INMP, nonché (relativamente ai propri assistiti) delle Regioni e delle Province autonome a) nel rispetto delle finalità istituzionali di ciascuno; b) anche mediante l’innovativa interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, «per finalità compatibili con quelle sottese al trattamento».
Tuttavia, il comma 1-bis individuava come base giuridica volta a disciplinare modalità e finalità del trattamento un futuro Decreto del Ministro della salute, che avrebbe: i) dovuto precisare i tipi di dati trattabili, le operazioni eseguibili, il motivo di interesse pubblico rilevante, le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato, ii) essere sottoposto a parere del Garante.
Gli interventi del Governo Draghi: FSE 2.0 e l’Ecosistema dei Dati Sanitari (EDS)
Nel 2022, il Governo Draghi aveva previsto di battezzare contemporaneamente (in due DM che voleva fare viaggiare insieme) due novità possibili grazie al PNRR: il FSE 2.0 e l’Ecosistema dei Dati Sanitari (EDS), un’infrastruttura tecnologica centrale alimentata direttamente dai sistemi informativi delle aziende sanitarie. Come necessario, gli schemi dei due DM erano stati sottoposti al Garante, che si era espresso il 22/8/2022 con due pareri non positivi, evidenziando lacune e limiti sul fronte della protezione dei dati personali.
Il Governo Meloni, succeduto al Governo Draghi nell’autunno 2022, per non perdere il relativo finanziamento del PNRR, decideva di dare la precedenza al varo del DM sul FSE 2.0, cosa che è avvenuta il 7/9/2023.
L’innesto dell’intelligenza artificiale nell’assistenza sanitaria
Nel frattempo, però, si era messa in moto una macchina che – coerentemente col disegno di una sanità digitale capace di cogliere le opportunità delle nuove tecnologie per rendere il sistema sanitario più efficiente – prevedeva l’innesto dell’intelligenza artificiale in sanità.
Ad avviare il motore, sempre nel 2022, era stata l’AGENAS, coinvolta mediante il Decreto del Ministro dell’Economia del 6 agosto 2021 nella realizzazione degli obiettivi del PNRR per l’Italia.
L’AGENAS aveva avviato una procedura di dialogo competitivo per il sub-investimento 1.2.2.4, finalizzato alla missione 6 del PNRR, per la realizzazione della piattaforma per lo sviluppo e l’esecuzione di applicazioni e di agenti intelligenti di supporto alle attività di assistenza primaria. Obiettivo: facilitare l’attività di diagnosi e cura dei professionisti sanitari impegnati nell’assistenza territoriale e favorire la fruizione dei servizi sanitari nelle Case di Comunità (CdC) da parte degli assistiti.
La Piattaforma AI dell’AGENAS: funzionalità e servizi
Il documento di AGENAS descrittivo degli obiettivi e dei requisiti funzionali chiarisce che questa piattaforma di AI sarà una infrastruttura altamente innovativa per abilitare servizi a supporto dei professionisti sanitari, migliorativa della capacità di presa in carico proattiva e lo stato di salute della popolazione e utilizzando processi assistenziali innovativi. L’approccio seguito consentirà un migliore governo della domanda, anche per finalità di programmazione.
La Piattaforma offrirà servizi sia ai professionisti sanitari che agli assistiti ed avrà funzionalità come:
- un ambiente integrato di monitoraggio degli assistiti di ciascun professionista, attraverso un cruscotto di indicatori che fornirà al professionista sanitario una visione chiara e sintetica sia sull’evoluzione clinica che sull’andamento dei percorsi di cura;
- la possibilità di segmentare e stratificare, attraverso tecniche ed algoritmi di AI, gli assistiti sulla base delle loro caratteristiche (quali ad esempio le patologie e le fasce d’età) e sulla base dei percorsi di cura, anche nell’ottica di veicolare specifici messaggi e segnalazioni;
- il supporto automatizzato all’individuazione di situazioni che richiedono attenzioni particolari e specifiche azioni, con generazione di alert (es. per rivalutazione delle condizioni dell’assistito);
- suggerimenti su specifiche azioni da dispiegare, anche eventualmente in modo automatizzato, nell’ottica di personalizzare e monitorare con maggiore precisione e attenzione i percorsi di cura degli assistiti, supportando i professionisti nel carico di lavoro amministrativo-organizzativo di routine legato, ad esempio, alla prenotazione delle visite, ai controlli e alla prescrizione di terapie farmacologiche ricorrenti;
- il supporto nell’attività diagnostica di base e nell’individuazione di percorsi di cura più rispondenti alle esigenze degli assistiti, grazie alla possibilità di analizzare i dati storici sui pazienti e sui percorsi di cura in modo da ottenere supporto nelle decisioni cliniche.
È evidente il rilievo quantitativo e qualitativo del trattamento di dati sanitari sotteso a queste funzionalità, mai normato finora perché inedito. A ciò si aggiunge che gli assistiti potranno ad esempio:
- instaurare un canale di comunicazione bidirezionale con i professionisti sanitari. Tale canale dovrà essere costantemente operativo grazie all’impiego di tecnologie basate sull’AI, consentendo l’erogazione continuativa dei servizi;
- ottenere l’accesso a informazioni sanitarie e suggerimenti per una completa aderenza alle cure prescritte, ricordando la necessità di specifiche prescrizioni funzionali a terapie farmaceutiche ricorrenti, e veicolando informazioni e segnalazioni evidenziate dal sistema sanitario o dal proprio Medico di Medicina Generale (MMG)/Pediatra di Libera Scelta (PLS);
- consultare cruscotti e indicatori di monitoraggio sul proprio stato di salute di rapida lettura e di immediata consultazione.
I servizi digitali offerti saranno ad elevato valore aggiunto attraverso un ampio ventaglio di soluzioni tecnologiche, che possono sfruttare tecniche di ragionamento automatico, sistemi per l’inferenza logica, sistemi di chatbot e di processamento del linguaggio naturale, sistemi di machine/deep learning. Contemporaneamente, la Piattaforma dovrà definire un’architettura di acquisizione e gestione dei dati che consenta di alimentare i sistemi informatici e gli algoritmi di AI con il maggior grado di completezza possibile, riducendo i rischi di bias nella sintesi di predizioni automatizzate e, in generale, nel supporto alle decisioni.
Le indicazioni Agenas sugli algoritmi di trattamento dei dati
Quanto agli algoritmi di trattamento dei dati per l’induzione di modelli di machine/deep learning, AGENAS ha previsto che:
1) i sistemi di apprendimento automatizzato dovranno prevedere meccanismi di learning incrementale dei modelli che consentano un deployment della Piattaforma, anche in assenza di uno storico su cui effettuare un training, che garantisca un elevato livello di completezza e rappresentatività;
2) la Piattaforma dovrà essere in grado di supportare algoritmi di learning distribuito, basati ad esempio su paradigmi di federated learning, che consentono di condividere e aggregare i modelli appresi sulle singole installazioni dei professionisti sanitari;
3) la Piattaforma dovrà mettere a disposizione banche dati per l’addestramento degli agenti intelligenti (training set), previamente verificati e idonei a soddisfare le necessità per le quali la Piattaforma verrà utilizzata.
Per il punto 3), AGENAS ha previsto l’uso di dati da fonti di letteratura disponibili su banche dati internazionali e, previo parere positivo del Garante, di dati da FSE, flussi NSIS, ricetta dematerializzata, flussi ACN della medicina generale ed eventuali altre fonti informative.
Mentre procedevano intensamente i lavori del dialogo competitivo, si perdeva di vista un aspetto cruciale ai fini della conformità del tutto alla normativa a protezione dei dati personali: l’assenza di una base giuridica, cioè di una norma nazionale che – con specifico riferimento a questo tipo di trattamenti – precisasse i tipi di dati trattabili, le operazioni eseguibili, il motivo di interesse pubblico rilevante, le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Nel gennaio 2024, il Garante ha fatto presente ad AGENAS che tale base giuridica mancava e che l’attuale formulazione dell’art. 2-sexies comma 1 bis non permetteva di crearla. A quel punto, in via cautelativa e temporanea, AGENAS ha sospeso la procedura di dialogo competitivo. Inoltre, ha chiesto supporto al Governo nella soluzione urgente del problema, anche considerato che la titolarità della piattaforma sarà del Ministero della Salute, mentre AGENAS sarà Responsabile del trattamento, in quanto gestore operativo.
Il trattamento dei dati sanitari secondo la nuova normativa
È alla luce di tutto ciò che bisogna leggere l’art. 44 del Decreto PNRR, modificativo dell’art. 2-sexies del codice privacy. Il Governo è intervenuto con un affinamento del comma 1-bis e con l’aggiunta del comma 1-ter.
L’affinamento del comma 1-bis ha aspetti puramente formali su cui non ci soffermeremo, e un solo aspetto sostanziale: si passa da una formulazione secondo cui i dati personali relativi alla salute trattati dal Ministero della Salute mediante interconnessione dovevano essere «privi di elementi identificativi diretti» ad una, più corretta anche ai sensi del GDPR, secondo cui questi dati sanitari devono essere «pseudonimizzati».
L’importanza della pseudonimizzazione dei dati nel sistema sanitario
Il “nuovo” comma 1-ter prevede testualmente: «Il Ministero della salute disciplina, con uno o più decreti adottati ai sensi del comma 1, l’interconnessione a livello nazionale dei sistemi informativi su base individuale, pseudonimizzati, ivi incluso il fascicolo sanitario elettronico (FSE), compresi quelli gestiti dai soggetti di cui al comma 1-bis o da altre pubbliche amministrazioni che a tal fine adeguano i propri sistemi informativi. I decreti di cui al primo periodo adottati, previo parere del Garante per la protezione dei dati personali, nel rispetto del Regolamento, del presente codice, del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e delle linee guida emanate dall’Agenzia per l’Italia digitale in materia di interoperabilità, definiscono le caratteristiche e disciplinano un ambiente di trattamento sicuro all’interno del quale vengono messi a disposizione dati anonimi o pseudonimizzati, per le finalità istituzionali di ciascuno, secondo le modalità individuate al comma 1».
Con la conversione in legge, avremo una fonte primaria (codice privacy) improntata i seguenti principi: 1) l’interconnessione deve riguardare dati sanitari pseudonimizzati (mai in chiaro); 2) l’interconnessione potrà essere disciplinata dal Ministero anche con DM diversi, eventualmente concentrati sulle singole finalità (riducendo, così, il rischio di perdere fondi del PNRR); 3) i singoli DM dovranno prevedere un ambiente di trattamento sicuro in cui ciascun player (Ministero della Salute, ISS, AGENAS, AIFA, INMP, Regioni, Province autonome) avrà a disposizione – a seconda del suo need to know – dati anonimi o pseudonimizzati.
Prospettive future: tra rispetto delle tempistiche del PNRR e tutela dei dati personali
L’intervento del Decreto PNRR sul codice privacy serve a rispettare la coerenza fra fonte primaria e fonti secondarie che è indispensabile per una base giuridica solida ai sensi del GDPR. Sul piano sostanziale, è probabile che da mesi Ministero della Salute e AGENAS siano al lavoro – con il supporto del Garante – sul DM necessario per dare copertura normativa all’uso di applicazioni e di agenti intelligenti di supporto alle attività di assistenza primaria, mediante la previsione analitica dei tipi di dati trattabili, delle operazioni eseguibili, del motivo di interesse pubblico rilevante, delle misure appropriate e specifiche per tutelare gli interessati.
Conclusioni
In conclusione: prosegue la corsa ad ostacoli per rispettare le tempistiche del PNRR conciliandole con la complessa elaborazione normativa necessaria ai sensi del GDPR e della nostra normativa nazionale.