l'analisi

Salute e Gdpr, l’innovazione che verrà dalle nuove norme

Grazie al Gdpr, elevati standard di garanzia per i trattamenti dei dati genetici, biometrici e relativi alla salute potranno stimolare investimenti per innovare la Sanità. Al Garante il delicato compito di individuare le misure minime adatte alle specificità nazionali. Vediamo come e gli scenari

05 Set 2018
Giuseppe D'Acquisto

Funzionario del Garante per la protezione dei dati personali, Titolare dell’insegnamento di intelligenza artificiale presso il Dipartimento di Giurisprudenza dell’Università LUISS Guido Carli

biometrics

L’analisi degli articoli del decreto legislativo per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (GDPR) fa emergere l’attribuzione al Garante di un compito molto rilevante di indirizzo tecnologico per il nostro Paese, per esempio per innovare nel settore della Salute e migliorare i sistemi di diagnosi e cura in Italia.

In particolare, sarà cruciale l’adozione di strumenti cosiddetti di soft law (codici di condotta, linee guida) per i trattamenti dei dati genetici, biometrici e relativi alla salute, destinati ad aumentare nei prossimi anni per via delle intensissime attività di ricerca e sperimentazione già oggi in corso.

Da questi trattamenti si attendono grandi innovazioni a beneficio delle condizioni di salute delle persone e per il miglioramento della qualità generale della vita (vedi anche le sfide per la Sanità dal Gdpr).

Ue: i dati saranno gli abilitatori della nuova sanità

La Commissione Europea in una recente Comunicazione (“Enabling the digital transformation of health and care in the Digital Single Market” del 25 Aprile 2018) ci dice che i dati saranno gli abilitatori della nuova sanità, e che la frontiera nella cura è la personalizzazione, dalle fasi di ricerca alla progettazione dei nuovi farmaci. La European Medicines Agency ha di recente istituito un board di esperti a livello mondiale per l’uso nel pubblico interesse dei clinical records delle aziende farmaceutiche in forma anonimizzata, per incrementare l’efficacia della cura delle patologie esistenti e per la scoperta di nuove malattie. Questi esempi ci danno un’idea dell’interesse delle istituzioni europee sul tema della sanità digitale.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Occorre subito precisare che il decreto di adeguamento ha lo scopo di integrare il Regolamento generale per le parti che è consentito agli Stati disciplinare, in stretta coerenza con il quadro normativo europeo, e dunque in questa azione di indirizzo il Garante non può modificare le condizioni che rendono possibile il trattamento dei dati genetici, biometrici e relativi alla salute. Queste sono disciplinate dall’art. 9 del Regolamento Europeo. Ciò che il Garante potrà (e dovrà) fare è individuare le misure di garanzia valide in Italia perché questi dati possano essere oggetto di trattamento. Lo chiarisce il nuovo art. 2 (septies) del decreto.

Le misure di garanzia del nuovo art. 2 (septies)

È bene soffermarsi su alcuni aspetti di questo articolo. Intanto, la scelta operata dal legislatore di fissare una durata biennale per la validità di queste misure di garanzia. Si tratta di un settore data intensive, guidato dalla velocità dei calcolatori e dall’accuratezza dei modelli matematici predittivi, le cui prestazioni aumentano con legge esponenziale. Le garanzie dovranno tenere lo stesso passo dell’evoluzione tecnologica e richiederanno di essere continuamente aggiornate. Quindi, l’elencazione analitica delle misure di garanzia. Queste riguardano la sicurezza, inclusa la pseudonomizzazione dei dati, la minimizzazione, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.

I temi sul tavolo sono molti e qui si può solo accennarli, giusto per dare un’anticipazione del delicato compito che il Garante sarà chiamato a svolgere. Sono tutte garanzie già presenti nel Regolamento generale e che dovranno essere interpretate tenendo conto delle categorie dei dati a cui le misure si applicano e, se possibile, delle specificità nazionali. Non ci si riferisce ovviamente ad una diversità italiana nei dati genetici, biometrici o relativi alla salute. Ma a una specificità “di sistema”: un Paese che individui degli standard di garanzia elevati offre un forte segnale alle grandi aziende multinazionali che investono in questo settore. In Italia le cose si fanno per bene e ha senso investire qui in ricerca e sviluppo. Sulla applicazione di questa parte del decreto si gioca dunque la possibilità concreta di creare una “asimmetria virtuosa” con altri Paesi capace di attrarre investimenti, non in ragione di minori regole e più facili adempimenti, ma al contrario per un impegno del nostro Paese a garantire qualità, competenza e dunque risultati.

La sicurezza come principio

La sicurezza è la prima delle misure di garanzia. Qui la novità di maggior rilievo già introdotta dal Regolamento europeo, che sempre dovrà ispirare le scelte, è l’elevazione della sicurezza a principio dei trattamenti (non lo era con la Direttiva). Questo significa che la sicurezza non è soltanto una buona prassi tecnico organizzativa, la cui assenza non invalida il trattamento, ma un vero e proprio prerequisito necessario, ai sensi dell’art. 5 del Regolamento generale, senza il quale il trattamento non può avvenire. Se consideriamo che la spesa in sicurezza delle informazioni oggi in Italia è pari allo 0,05% del PIL (ovvero, circa l’1% del totale delle spese del comparto ICT), ci accorgiamo che siamo molto lontani dal considerare la sicurezza un principio.

Per muovere queste cifre occorre un cambio di paradigma. La sicurezza non serve soltanto a difendersi, ma a ridurre falsi positivi, errate attribuzioni, ritardi nell’erogazione di una prestazione. Gli strumenti della sicurezza possono fare molto per ridurre questi inconvenienti. Questo è ciò che dobbiamo attenderci da una sicurezza concepita come principio: che le cose funzionino bene, con un crescente livello di affidabilità e di fiducia, e che non sia la persona a farsi carico del buon funzionamento della macchina o a sopportarne il malfunzionamento. Purtroppo falsi positivi, errate attribuzioni e ritardi ancora si verificano in molti settori, e in quello sanitario, come sappiamo, essi possono avere conseguenze fatali per la persona, oltre ad arrecare seri impatti ai congiunti e ai familiari. La pseudonimizzazione è uno degli strumenti che il Regolamento ha individuato per elevare la sicurezza a principio: l’impiego estensivo e oculato di queste tecniche di cifratura consente infatti sia di ridurre sia i casi di conflitti tra i dati, all’origine di molti degli inconvenienti ricordati, sia di allocare correttamente le responsabilità riducendo gli errori in catene dei trattamenti che si allungano, coinvolgono attori dislocati su una scala ormai planetaria e non di rado si avvalgono di processi automatizzati per molte fasi del trattamento.

La minimizzazione

La minimizzazione è la seconda garanzia. Da sempre è un principio della protezione dei dati, ma esso è stato interpretato in termini quantitativi: se il dato non serve non si usa. Ciò non è da stimolo per gli scenari di sviluppo accennati che puntano sulla scoperta, che come tale non può essere predeterminata. Le tecniche di data mining ci offrono oggi la possibilità di dare un nuovo significato al principio di minimizzazione. È concretamente possibile conciliare le esigenze di pubblico interesse di una più accurata conoscenza delle patologie, senza sacrificare la sfera personale degli individui, intervenendo sul potere identificativo dei dati, in modo da estrarre il maggior numero di informazioni di contesto utili alla ricerca senza per questo esporre la persona a una pubblica conoscibilità di ogni aspetto della sua vita, e in particolare di quelli che hanno a che fare con lo stato di salute. Molte sono le tecnologie ormai consolidate a disposizione, dalla k-anonimity alla differential privacy, per contemperare con successo il pubblico interesse a una “healtier society”, una società più sana, per usare la terminologia della Commissione Europea, e il diritto fondamentale della persona alla protezione dei suoi dati.

Le misure necessarie a garantire i diritti degli interessati

Infine, le misure necessarie a garantire i diritti degli interessati. Innanzitutto il diritto a essere informati, attraverso azioni che rendano il più possibile semplice (ma non banale) ciò che è per sua natura complesso. Quindi il diritto della persona a mantenere una centralità in questi processi così articolati. Quali siano le modalità per garantire alla persona di essere soggetto e fine della ricerca e non semplicemente una miniera di dati è la sfida più impegnativa. Varrà la pena in questo esercizio di riflettere sull’applicazione delle possibilità che il Regolamento europeo ha introdotto, dal diritto alla portabilità dei dati (all’art. 20), alla possibilità di ingegnerizzare trattamenti che non richiedano l’identificazione degli interessati (all’art. 11). E in particolare si dovrà ragionare su forme il più possibile standardizzate per l’esercizio di questi diritti. Non si può pensare a tecnologie di nuova generazione per i la ricerca e per i servizi e a tecnologie di vecchia generazione per la privacy. Verrebbe meno la fiducia nei benefici dell’innovazione.

Un percorso complesso

È un percorso, anche culturale, molto complesso, che il Regolamento induce gli Stati ad avviare e il decreto legislativo chiama il Garante a favorire con concrete indicazioni. Il fatto poi che le violazioni alle misure di che il Garante individuerà invalidino il trattamento e siano sanzionabili penalmente (nuovo art. 167 del decreto) è un segno dell’importanza che a livello di sistema il legislatore attribuisce a queste garanzie. È appena il caso di osservare che la natura “sensibile” dei dati a cui queste misure si applicheranno renderà queste garanzie a maggior ragione idonee per i trattamenti di ogni tipo di dati, costituendo per tutti i trattamenti un riferimento in termini di tutele verso il quale tendere.

Il Garante ha una competenza riconosciuta a livello europeo su questi temi ed è perfettamente consapevole dell’importanza della sfida, per la quale occorreranno competenze molto specialistiche. L’innalzamento del limite del ruolo organico dell’Autorità (nuovo art. 156 del decreto) trova anche nelle esigenze qui rappresentate la propria ragion d’essere.

Decreto Gdpr, le urgenze dopo l’entrata in vigore (19 settembre)

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati