Algoritmi in Sanità, il Garante Privacy chiede tutele extra per i pazienti a rischio | Agenda Digitale

intelligenza artificiale

Algoritmi in Sanità, il Garante Privacy chiede tutele extra per i pazienti a rischio

Il Garante Privacy ha chiesto modifiche alla Provincia Autonoma di Trento per un regolamento sulla medicina d’iniziativa con uso di intelligenza artificiale e big data. Serve anonimizzazione di ultima generazione per i dati dei pazienti a rischio

26 Ott 2020
Francesco Maldera

Data Protection Officer e Data Specialist


Sono necessarie più cautele nell’uso di algoritmi in Sanità per individuare i pazienti a rischio: è il parere del Garante Privacy, che quindi ha chiesto modifiche alla Provincia Autonoma di Trento per un regolamento in materia, come comunicato oggi dallo stesso Garante. I dati di quei pazienti, che la Provincia intende analizzare con intelligenza artificiale, devono essere protetti con anominizzazione di ultima generazione.

Il Garante e la medicina d’iniziativa a Trento

L’Autorità Garante per la Protezione dei Dati Personali è intervenuta in merito ad inizio ottobre[1] nell’ambito della medicina (o sanità) d’iniziativa, ossia quel modello assistenziale di gestione delle malattie croniche che non attende l’arrivo della persona in ospedale (“sanità di attesa”), ma lo assiste preventivamente – anche mediante l’analisi dei big data e l’uso dell’intelligenza artificiale – prima che le patologie insorgano o si aggravino, garantendo quindi all’assistito interventi adeguati e differenziati in rapporto al livello di rischio, puntando anche sulla prevenzione e sull’educazione.[2]

Tale tematica, che ha coinvolto la Provincia di Trento, ha già visto l’intervento dell’Autorità lo scorso maggio su un disegno di legge (poi divenuto legge) della provincia autonoma in esame. Come dichiara l’Autorità Garante, già in quell’occasione si erano palesate numerose criticità, in virtù del fatto che la Provincia intendeva introdurre una idonea base normativa per consentire il trattamento dei dati sanitari a fini di medicina d’iniziativa. Come rivela il Garante, il disegno di legge trentino “ospitava” diverse finalità del trattamento (statistiche, di cura e amministrative) fondate su altrettanti “variegate” basi giuridiche. Criticità, come dichiara il Garante, che ora si ritrovano nello schema di regolamento della Provincia. Si aggiunge a ciò, il mancato invio di una Valutazione di Impatto sulla protezione dei dati – prevista dall’Art. 35 GDPR, in base alla quale la Provincia avrebbe individuato le modalità con cui compiere delicate operazioni sui dati sanitari, anche attraverso l’uso di un algoritmo. Lo schema di regolamento in esame, incalza l’Autorità Garante, prevede l’acquisizione anche di dati relativi alla tossicodipendenza, all’interruzione volontaria di gravidanza, alla maternità e ai registri dei tumori. Informazioni alle quali l’ordinamento – afferma il Garante – riconosce tutele rafforzate, in particolar modo riguardo ai dati relativi all’aborto, al parto in anonimato, all’HIV e alla fecondazione artificiale.

Il regolamento e l’intelligenza artificiale: pazienti a rischio

In definitiva, Il Garante ha richiamato la Provincia di Trento a trattare i dati nel rispetto delle norme di riferimento. L’Autorità ha poi chiesto alla Provincia di Trento di perfezionare il regolamento chiarendo la logica e le modalità attraverso le quali intende effettuare il trattamento con particolare riferimento all’individuazione dei soggetti a rischio attraverso l’uso di un algoritmo per l’analisi dei Big Data. Il Garante ha inoltre affermato che nel regolamento provinciale dovrà essere ben specificato che i dati potranno essere diffusi solo “anonimizzati secondo tecniche allo stato dell’arte”, ossia con un’anonimizzazione avanzata e di ultima generazione (per rimarcare sulla particolare attenzione che dovrà avere la Provincia).

Il Garante, infine, ha fornito puntuali indicazioni per conformare il disciplinare tecnico allegato al regolamento alle regole e alle garanzie in materia di protezione dei dati. Tra le misure di sicurezza indicate dall’Autorità, vi sono la previsione di misure tecniche di protezione “allo stato dell’arte” delle password degli autorizzati al trattamento; implementazione di misure di difesa da attacchi SQL injection (tecnica usata per attaccare applicazioni che gestiscono dati attraverso database relazionali sfruttando il linguaggio SQL); di misure fisiche per i locali e di misure organizzative – ad esempio – preordinate a non lasciare documenti incustoditi, postazioni di lavoro non bloccate e trasferimento di dati su supporti personali.

White Paper - E-Health: come migliorare il patient journey grazie alle tecnologie digitali

[1] Parere alla Provincia autonoma di Trento su uno schema di regolamento concernente la medicina di iniziativa nel servizio sanitario provinciale – 1° ottobre 2020 [9469372]. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9469372

[2] Che cos’è la sanità d’iniziativa. ARS Toscana. https://www.ars.toscana.it/aree-dintervento/problemi-di-salute/malattie-croniche/news/1578-che-cose-la-sanita-diniziativa.html

@RIPRODUZIONE RISERVATA

Articolo 1 di 4