privacy e sanità

Big data nel settore farmaceutico: gestirli nel rispetto del Gdpr

Il rispetto della normativa sul trattamento dei dati personali in ambito farmaceutico comporta determinati obblighi di trasparenza, correttezza, informazione e sicurezza di dati sensibili sulla salute delle persone. Ecco i vantaggi che ne possono derivare in termini di competitività

19 Nov 2019
Anna Capoluongo

Avvocato, Data Protection Officer


Posto che il ricorso ai big data è già realtà nel settore farmaceutico, ad oggi la sfida è il passaggio da una mole enorme e per così dire “informe” di dati ai cosiddetti smart data. Nel rispetto della privacy post Gdpr.

La priorità, quindi, diventa la qualità dei database perché solo dati accuratamente selezionati, acquisiti e gestiti correttamente, mediante procedure che rispettino ex multis anche i principi di privacy by design e by default, saranno in grado di produrre evidenze valide che permettano a loro volta – proprio in virtù delle procedure e dei processi di selezione applicati sin dall’origine – di ridurre al minimo il rischio di errore.

Gestire un’enorme quantità di informazioni – che in ambito farmaceutico si traducono in dati relativi alla salute, dati genetici, dati biometrici, abitudini, effetti dei trattamenti, andamento delle patologie etc. etc. – comporta tuttavia determinati obblighi di trasparenza, correttezza, informazione e sicurezza dei dati, e, ovviamente, di rispetto della normativa sul trattamento dei dati personali.

La presente analisi sarà pertanto focalizzata sul passaggio da big data a smart data nel settore farmaceutico, nel tentativo di mettere in evidenza il bilanciamento tra vantaggi ed obblighi, tra principio di responsabilizzazione del Titolare del trattamento e competitività aziendale/sviluppo del business. Il tutto da leggersi in chiave di “investimento win-win” teso ad identificare la corretta metodologia che faccia sì che dal rispetto della normativa possa derivare un vantaggio competitivo sostenibile per l’azienda.

I vantaggi di una farmacia tecnologica

Forbes e McKinsey ci ricordano come la cosiddetta “Farmacia tecnologica” – qui volutamente da intendersi più che quale farmacia smart come commistione di big data e new tech a favore della farmaceutica – potrebbe essere in grado di veicolare profitti ben superiori a quella tradizionalmente conosciuta, e ciò perché il valore generato deriverebbe da migliori processi decisionali, innovazione, efficienza e nuovi strumenti per una medicina personalizzata.

Tale risultato verrebbe garantito dall’utilizzo di big data (a loro volta alimentati da AI, Machine Learning, IoT), trattamenti personalizzati intesi come valore aggiunto per l’Health 4.0, collaborazione tra gli operatori del sistema e integrazione delle informazioni.

E’ giusto il caso di ricordare che il valore aggiunto apportato dai big data va ricercato nell’evoluzione dei processi di analisi, passati nel tempo dalla semplice diagnostica all’analitica descrittiva, predittiva ed infine prescrittiva.

E così, al fine di brevemente delineare le caratteristiche tipiche di ciascuno dei citati processi, nel primo caso (analitica descrittiva) l’analisi sarà in grado di restituire quale risultato una descrizione dello stato, attuale o passato, di un sistema o dispositivo.

All’aumentare della quantità e della varietà dei dati si passerà, invece, ad un’analisi di tipo predittivo che permetterà di ricavare informazioni capaci di prevedere gli stati futuri di un sistema grazie al processamento di collezioni di dati, attuali o storici.

Il potenziamento ulteriore di tali attività, mediante l’utilizzo di dati in real time unitamente a dati esterni al singolo sistema, porterà, infine, all’analitica prescrittiva, finalizzata all’istruzione del sistema stesso (mediante complessi algoritmi e Machine Learning), così da consentirgli di valutare, sulla base di determinati fattori, quali azioni intraprendere autonomamente per adattarsi ai cambiamenti.

Ciò in termini privacy significa, ad esempio, evitare analisi dei rischi imprecise o carenti o persino scongiurare casistiche di data breach, con conseguenti notificazioni al Garante (e all’interessato, se del caso) e relativi danni all’immagine/reputazionali, nonché sanzioni amministrative e/o penali ex Codice Privacy come novellato dal D.lgs. 101/2018.

Il principio dell’accountability

Primo principio tra tutti e caposaldo privacy, è quello dell’accountability, ossia la responsabilizzazione ed autodeterminazione del Titolare cui è demandato il compito – derivante dalla piena conoscenza che egli ha della propria realtà lavorativa ed aziendale – di valutare come operare, quali misure di sicurezza improntare e per quali finalità effettive, comunque e sempre sulla scorta del buon senso. Tale principio comporta anche, per sua stessa natura, che il Titolare del trattamento sia sempre in grado di dare prova di aver ben agito in punto privacy, e quindi, a mero titolo esemplificativo, di aver correttamente informato l’interessato o di aver ottenuto il suo consenso, ove necessario.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Si ricorda, inoltre, che il Titolare sarà sempre responsabile, anche per culpa in eligendo e in vigilando, e dunque nella scelta dei soggetti a cui affidarsi nel trattamento, così come nella supervisione e nel controllo del loro corretto operare.

E’, inoltre, il caso di rilevare che tale responsabilizzazione, che vede coinvolti tutti gli attori privacy – dal Titolare all’autorizzato al trattamento – in un procedimento cosiddetto “a cascata”, non è da identificarsi come statica, bensì come “dinamica” ed “in itinere”[1].

La mancata o parziale applicazione delle norme privacy e quindi certamente anche del principio di accountability non va presa alla leggera, poiché le sanzioni sono reali ed effettive e la sicurezza dei dati è problematica quotidiana e di rilievo globale.

Basti pensare all’indagine recentemente svolta dalla società di sicurezza informatica Greenbone Networks dalla quale è emersa una fuga di dati sanitari e particolari a livello mondiale, di circa 6 milioni di radiografie conservate su server non protetti e dunque facilmente accessibili e che ad oggi ha innescato un’istruttoria da parte del Garante italiano.

Dove convergono privacy, smart data e innovazione farmaceutica

E quindi, dove convergono privacy, smart data e innovazione farmaceutica?

E’ il caso di porre il focus su tre ambiti distinti, forieri di potenziali nuove soluzioni e sviluppi: sperimentazione clinica, farmacovigilanza e monitoraggio della filiera.

Nell’ambito della sperimentazione clinica, a gennaio 2019 l’EDPB (comitato europeo per la protezione dei dati) ha pubblicato un parere relativo ad un documento su “Domande e risposte sull’interazione tra il regolamento sulle sperimentazioni cliniche (CTR) e il regolamento generale sulla protezione dei dati (GDPR)”.

Va anzitutto chiarito che GDPR e CTR trovano applicazione simultanea, poiché il CTR, che dovrebbe entrare in vigore nel 2020 e mira ad armonizzare le regole per lo svolgimento di sperimentazioni cliniche in tutta l’UE, non contiene alcuna deroga al GDPR.

Il parere dell’EDPB (da integrarsi ex art. 9 c. 4 GDPR e art. 2-septies del D.lgs. 101/2018) rileva in particolare nella misura in cui fornisce spunti interessanti in merito all’individuazione della corretta base giuridica per il trattamento dei dati dei pazienti, distinguendo:

  • tra uso primario (per le operazioni di trattamento relative a uno specifico protocollo di sperimentazione clinica durante il suo l’intero ciclo di vita, dall’avvio all’archiviazione e alla cancellazione dei dati) e
  • uso secondario (per diverse finalità scientifiche).

Nell’uso primario vanno ulteriormente distinte due categorie di trattamento:

  • attività di ricerca (per la quale la base giuridica ipotizzabile viene identificata in: consenso esplicito, interesse pubblico o legittimo interesse) e
  • tutela della salute (ove le basi di riferimento sarebbero: obbligo legale o interesse pubblico nel settore della sanità pubblica).

Quanto all’uso secondario, invece, si delineerebbe il possibile utilizzo del consenso specifico, parallelamente all’applicabilità della presunzione di compatibilità per finalità ulteriori ex art. 6 c. 4 GDPR, il tutto sempre a fronte del rispetto delle ulteriori disposizioni e garanzie previste dal Regolamento europeo 679/2016.

L’importanza della corretta identificazione della base giuridica

La corretta identificazione della base giuridica non è da sottovalutarsi, e sul punto basti rifarsi alla nota a conclusione di un’istruttoria nell’ambito della quale, come si legge nella newsletter del Garante[2] sono emersi illeciti trattamenti di dati effettuati da un’azienda sanitaria e dalla società alla quale lo stesso ente, in due occasioni, aveva messo a disposizione copie di immagini della Tac, contenenti informazioni sulla salute di alcuni pazienti. L’Autorità ha evidenziato, da un lato, che le società che forniscono apparecchiature per l’alta diagnostica non possono utilizzare per i propri scopi i dati dei pazienti sottoposti agli accertamenti medici, e, dall’altro, che le aziende sanitarie da parte loro possono comunicare i dati sanitari a terzi solo in presenza di un adeguato presupposto normativo (base giuridica, ndr.).

Ancora, nell’ambito della Farmacovigilanza, si ricorda che ex art. 22 del Decreto Ministero della Salute del 30 aprile 2015, I medici e gli altri operatori sanitari sono tenuti a segnalare tempestivamente, e comunque entro due giorni, le sospette reazioni avverse da medicinali (Adr, ndr.) di cui vengono a conoscenza nell’ambito della propria attività, in modo completo e secondo le modalità individuate nel modello di segnalazione avversa predisposto dall’AIFA”.

Nei moduli di segnalazione delle Adr è previsto che il paziente rimanga identificabile attraverso determinate informazioni (ossia: iniziali del nome e del cognome, data nascita o età, sesso, origine etnica, peso, informazioni cliniche rilevanti nel caso concreto) e ciò comporta l’interazione della materia con alcuni profili privacy, quali ad esempio quello della pseudonimizzazione, ovverosia quel trattamento che permette che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, conservate separatamente. Si parla in tal caso di reversibilità del dato personale, poiché la pseudonimizzazione continua a permettere una identificazione dell’individuo persona fisica, seppur in maniera indiretta.

E’ bene, inoltre, ricordare che i dati contenuti nelle segnalazioni sono anche oggetto di inserimento all’interno della Rete Nazionale di Farmacovigilanza, destinati ad essere comunicati tanto in Italia quanto all’Estero. Sotto tale profilo, prima della loro diffusione deve essere prevista una anonimizzazione dei dati stessi. Questa, a differenza del trattamento sopra citato, basandosi sulla rimozione di elementi che permettano di risalire alla persona fisica specifica, rende di norma quasi impossibile la reversibilità del dato.

E’ bene, però, ricordare che recentemente un gruppo di ricercatori dell’Imperial College di Londra[3] ha dimostrato la possibilità (rectius, la semplicità) di ricollegare i dati anonimizzati ai corrispondenti interessati, mediante l’utilizzo dell’intelligenza artificiale (AI).

Come noto, l’anonimizzazione, utilizzando alcune tecniche tra cui anche lo stripping, in cui i dati vengono letteralmente fatti “a strisce” e poi archiviati dopo averne mescolato i pezzi, richiede una chiave di cifratura per poter ricomporre le informazioni. La ricerca, però, ha dimostrato che, utilizzando tecniche di machine learning, è possibile ricostruire l’identità dell’utente[4], a partire da quelle “strisce” apparentemente senza senso, mediante una sorta di processo di retro engineering.

Andranno, infine, valutati i profili di trasferibilità dei dati all’estero, nel rispetto dei requisiti richiesti dal GDPR, e così: consenso espresso, BCR, clausole standard, decisioni di adeguatezza.

La segnalazione dell’Adr può porre però problemi di under-reporting e di non completezza delle informazioni dei pazienti, tali per cui l’uso di altre fonti di dati disponibili diventa essenziale per migliorare le rilevazioni, così determinando il ricorso a data base sanitari, dati generati direttamente dai pazienti sui social media, programmi di coinvolgimento dei clienti. Ancora, flussi di dati rilevanti vengono raccolti attraverso app e wearable devices (IoT), che per loro stessa natura risultano essere più rappresentativi e sistematici dei flussi di dati perché in grado di richiedere all’utente di inserire informazioni e dati riassuntivi maggiori/più specifici. In UK, ad esempio, i ricercatori stanno usando smartphone e dati mobili collegati per studiare la relazione tra i modelli metereologici e la gravità dei sintomi dell’artrite reumatoide.

Il machine learning in farmacovigilanza

Quanto al concreto utilizzo del machine learning in farmacovigilanza è giusto il caso di ricordare che ciò può applicato alle informazioni raccolte sotto forma di testo libero – ossia ad un testo non codificato – (es. note cartelle cliniche informatizzate) mediante UML (unsupervised machine learning) e SML (supervised machine learning). Per l’identificazione di ADR nei data base viene poi usato il NPL (natural language processing).

Last but not least, è importante pensare al dato ed alla potenziale competitività aziendale non solo in ottica paziente/medico, ma anche sotto un profilo di monitoraggio della filiera e dunque di automazione dei processi.

Per garantire una logistica efficiente sono obbligatori il monitoraggio, la tracciabilità e la raccolta di dati.

Il trattamento del dato è, quindi, alla base della logistica del farmaco, sia nella distribuzione primaria (ex art. 108 D.lgs. 219/2006) che in quella secondaria (art. 105) e su di esso incidono inevitabilmente profili giuridici che vanno ad abbracciare un ampio spettro di ambiti, sia attinenti alla privacy (quali ad esempio gli adempimenti in tema di valutazione di impatto o DPIA, informative, cartellonistica, analisi dei rischi etc.), sia relativi a tematiche giuslavoristiche (quali accordi sindacali o ottenimento di autorizzazioni da parte della DTL), soprattutto laddove si pensi ai sistemi normalmente utilizzati – ed ai relativi impatti – in ambito di monitoraggio della filiera, quali la geolocalizzazione e la videosorveglianza.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

_____________________________________________________________________

  1. M. d’Agostino Panebianco, “Vivere nella dimensione digitale”, Themis Editore, 2019.
  2. Si veda Newsletter N. 457 del 23 settembre 2019 del Garante italiano per la privacy.
  3. https://www.nature.com/articles/s41467-019-10933-3.
  4. Nello studio è stato possibile ricostruire l’identità del 99,8% degli utenti statunitensi, partendo da sole quindici caratteristiche.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4