Gli open data stanno guadagnando terreno e ogni Paese costruisce il suo Registro dati sanitari.
All’inizio del 2022 il National Institute of Health (NIH) degli Stati Uniti ha stabilito che a
partire dal 2023 tutti i progetti finanziati dal NIH dovranno includere un “piano di gestione e condivisione dei dati”, rendendo i loro dati disponibili al pubblico.
L‘ente di ricerca olandese ZonMw promuove la scienza aperta e la “FAIRification” della ricerca sanitaria e la Stanford’s AI Medicine and Imaging sta ampliando il suo archivio gratuito di set di dati per i ricercatori di tutto il mondo.
Parallelamente il Data Governance Act (DGA)23 promuove la condivisione dei dati e mira a costruire un ambiente affidabile, facilitando la ricerca innovativa e la produzione di prodotti e servizi innovativi. Uno dei pilastri fondamentali del DGA promuove l’altruismo dei dati in tutta l’UE, rendendo più facile per i singoli e le aziende rendere volontariamente disponibili i propri dati per il bene comune, ad esempio per i progetti di ricerca medica.
Tuttavia, questo vento non sembra tirare in Italia. Ecco come costruire il registro dati nel rispetto del GDPR.
Il quadro legislativo
Quello che sta accompagnando la veloce crescita dell’utilizzo di tecnologie in sanità, è un quadro legislativo che richiede di progettare, addestrare e convalidare i software attraverso set di dati che siano rappresentativi della popolazione che utilizzerà i software stessi. Questo requisito garantisce non solo l’efficacia del funzionamento del software, ma anche la diminuzione dei bias.
In questo senso il nuovo Reg. Ue 2017/745 sui dispositivi medici all’Allegato XV sulla
Indagini cliniche punto 3.6.3 stabilisce che il piano d’indagine deve contenere (tra gli altri) 3.6.3. Informazioni sui soggetti, i criteri di selezione, l’entità demografica della popolazione oggetto dell’indagine, la rappresentatività della popolazione oggetto dell’indagine rispetto alla popolazione destinataria e, se del caso, informazioni sui soggetti vulnerabili partecipanti, quali bambini, donne incinte, immunodeficienti o soggetti anziani.
Nella stessa direzione l’art. 10 par. 3 della proposta di regolamento sulla AI così sancisce i set di dati di addestramento, convalida e prova devono essere pertinenti,
rappresentativi e, nella misura del possibile, esenti da errori e completi. Essi possiedono le proprietà statistiche appropriate, anche, ove applicabile, per quanto
riguarda le persone o i gruppi di persone sui quali il sistema di IA ad alto rischio è
destinato a essere usato.
I set di dati di addestramento, convalida e prova tengono conto, nella misura
necessaria per la finalità prevista, delle caratteristiche o degli elementi particolari
dello specifico contesto geografico, comportamentale o funzionale all’interno del
quale il sistema di IA ad alto rischio è destinato a essere usato.
Il mondo dei software ha quindi bisogno di un ampio set di dati. Leciti, corretti, puliti, omogenei, ma altresì ampi.
In attesa quindi che vada a compimento la proposta di regolamento sull’Health Data
Space (COM (2022) 197 del 3 maggio 2022) – che (come noto) ha l’obiettivo di creare una grande repository europeo dei dati sanitari anche allo scopo di facilitare il riutilizzo dei dati per secondary use – stanno nascendo molte iniziative pubbliche e private finalizzate alla creazione di Data Base aperti per la condivisione dei dati sanitari.
Open data in sanità
La rivista Nature ha appena pubblicato un interessantissimo articolo dal titolo “A guide to sharing open healthcare data under the General Data Protection Regulation”. L’articolo analizza i profili ed i processi che hanno portato alla raccolta di dati delle cartelle cliniche di quattro Terapie Intensive di diversi ospedali siti nella UE allo scopo di creare data base aperti.
L’articolo è di estremo interesse perché non solo delinea quattro approcci distinti alla
condivisione aperta dei dati sanitari (ciascuno con implicazioni diverse in termini di
sicurezza dei dati, facilità d’uso, sostenibilità e implementabilità). Ma formula anche sette raccomandazioni per guidare iniziative simili.
I quattro ospedali che hanno partecipato sono: AmsterdamUMCdb (Paesi Bassi) , HiRID (Svizzera); Sanitas Dat4Good (Spagna) ed HM Hospital (Spagna).
I lavori sono stato svolti in tutti gli ospedali da un team multidisciplinare (medici,
informatici, dipartimenti di comunicazione, avvocati esperti in protezione dei dati, eticisti nonché soggetti terzi per l’analisi completa della DPIA e per valutare le strategie di de-identificazione e governance).
La base giuridica
In relazione alla base giuridica da utilizzare per la creazione del data base le scelte sono state diverse.
A parte HiRID (svizzera) che ha utilizzato il consenso, l’AmsterdamUMCdb, SANITAS e
HM hanno tutte raccolto i dati in base all’art. 9 lett. j) del GDPR, considerando il consenso una base giuridica non idonea e troppo complicata da gestire.
La de-identificazione
Dopo la raccolta i dati sono stati sottoposti ad un processo di de-identificazione.
Più esattamente SANITAS ha pseudonomizzato il set di dati, rimuovendo solo gli
identificatori diretti, e svolgendo una DPIA che è stata poi sottoposta ad un audit di parte terza indipendente.
Gli altri tre database hanno invece anonimizzato i loro dati.
HiRID ha eseguito un processo di anonimizzazione secondo la metodologia K (tecnica che si basa sul concetto che un individuo anonimizzato non deve essere distinguibile da almeno K- 1 altri individui. In altre parole, se K=10, ogni individuo non deve essere
distinguibile da almeno 9 altri individui).
L’AmsterdamUMCdb ha adottato un approccio simile, ma attraverso un processo iterativo che prevede la de-identificazione dei dati (tramite generalizzazione e soppressione) poi una valutazione sul rischio di re-identificazione tramite terzi e, nel caso l’esito non sia positivo, un innalzamento del livello di de-identificazione con ulteriore valutazione da parte di terzi [1].
La valutazione etica
Sotto il profilo della valutazione etica HiRID e AmsterdamUMCdb hanno ottenuto un
parere generico da parte dell’IRB (Institutional Review Board), mentre HM ha richiesto un parere positivo per la costruzione del data base e richiede altresì che il soggetto che
intende accedere ai dati presenti specifico parere etico positivo.
La governance
Ogni data base ha implementato un modulo di richiesta dati obbligatorio, attraverso il
quale un comitato scientifico valuta sia il soggetto che presenta la domanda di accesso ai dati che la proposta di ricerca, impedendo quindi l’uso improprio dei dati.
I quattro data base, che vengono aggiornati regolarmente, stanno diventando un punto di riferimento per chi necessità di tale tipologia di dati: solo a titolo di esempio HiRID ha ricevuto oltre 200 richieste di accesso all’anno ed ha avuto 84 citazioni in pubblicazioni originali. HM ha ricevuto circa 180 richieste, approvandone il 95%.
Infine l’articolo contiene una serie di raccomandazioni che devono essere tenute in
considerazione da chi si approccia a progetti analoghi.
Conclusioni
L’art. 110 del Codice Privacy, come un moloch, sembra impedire l’utilizzo di altre basi
giuridiche che non siano il consenso e la posizione del Garante Privacy seguono questa
tendenza.
Basti pensare al Parere emesso ai sensi ai sensi dell’art. 110 del Codice e dell’art. 36 del Regolamento – 30 giugno 2022 su richiesta dell’ospedale di Verona che aveva come obiettivo proprio quello di costruire un “registro” o “banca dati” attraverso “la raccolta di dati strutturata che consenta di esaminare la popolazione dei pazienti affetti da patologie neoplastiche e non del distretto toracico”: in quel caso il Garante ha previsto il consenso come base giuridica sia per la costituzione del data base che per tutti gli studi successivi che vengano effettuati estraendo i dati dal data base stesso.
In sostanza, un meccanismo che rende il registro dati complesso da costruire e complesso da accedere.
La domanda da porsi è se siamo veramente convinti che il consenso sia l’unico modo per garantire la tutela del paziente, perché se la risposta è affermativa dobbiamo immaginare che altri Paesi (come la Spagna) – che consentono di utilizzare l’art.
9 lett. j) – tutelano meno i pazienti. O forse, invece, è il momento di iniziare a pensare che forse ci sono altri istituti giuridici che altrettanto leciti e tutelanti, possono però facilitare la nostra ricerca.
Bibliografia
[1] Nello specifico sono state svolte due valutazioni esterne indipendenti Esperti indipendenti guidati dal prof. Sijbrands di Erasmus MC e della Federazione olandese dei centri medici universitari (NFU) hanno esaminato AmsterdamUMCdb per valutare il rischio di re-identificazione ai sensi del GDPR. Hanno concluso che, tenendo conto di tutti i mezzi ragionevolmente utilizzabili, la reidentificazione non è ragionevolmente probabile per AmsterdamUMCdb e che quindi i dati possono essere considerato anonimi.
Inoltre è stata condotta una revisione etica indipendente da parte del gruppo di etici clinici, il dottor Erwin Kompanje, rinomato per la sua esperienza in materia di etica legata alla medicina intensiva. Il gruppo ha concluso che l’uso di dati medici de-identificati in questo contesto è eticamente valido, dato il rischio minimo e i principi etici del dovere di soccorso e del contributo caritatevole. Pertanto, è stato affermato che i vantaggi di una condivisione responsabile dei dati superano di gran lunga i potenziali vantaggi di una condivisione responsabile dei dati.
