Dati degli italiani alle multinazionali, il Garante Soro: “Ecco come tuteleremo la privacy”

Intervista ad Antonello Soro
(di Alessandro Longo, “La Repubblica”, 6 dicembre 2017)

“Capisco le perplessità, ma mi sembra che siano presenti garanzie che, valorizzate opportunamente, potranno conciliare, da un lato, la ricerca scientifica e, dall’altro, proteggere il diritto alla riservatezza dei pazienti”. Così Antonello Soro, garante della privacy italiano, interviene sul dibattito che si è aperto dopo la pubblicazione della “legge europea 2017” con cui l’Italia ha appena posto le basi per l’utilizzo dei dati personali degli italiani – in forma anonima e dopo l’autorizzazione dello stesso Garante – a scopo di ricerca.

“L’ordinamento italiano ed europeo non impediscono il riuso dei dati per finalità di ricerca, ma lo condizionano a precise procedure di cautela sulla base di un puntuale bilanciamento tra il diritto alla privacy degli interessati e altre rilevanti finalità di interesse pubblico”, spiega Soro. “In questo senso, la legge europea mi pare che contenga almeno due indicazioni importanti. Innanzitutto, qualunque progetto di riutilizzo dei dati sulla salute, per ottenere il via libera del Garante dovrà dimostrare, preventivamente, l’esistenza di adeguate misure di protezione dei dati. Dovrà, in particolare, essere documentata l’adozione di accorgimenti idonei a ridurre ragionevolmente i rischi di re-identificazione degli interessati”.

“Per altro verso – continua Soro – l’autorizzazione del Garante, per la quale è anche previsto il silenzio rigetto, rappresenta una cautela tutt’altro che generica. Spetterà infatti al Garante, non solo valutare la robustezza delle soluzioni adottate, ma anche stabilire misure necessarie a tutela dei pazienti, della sicurezza, della trasparenza del trattamento e dell’efficace esercizio dei diritti degli interessati”.

“Del resto, nell’attuale contesto tecnologico gli istituiti tradizionali di garanzia dell’informativa e del consenso rischiano di non essere più, da soli, strumenti efficaci di tutela per la privacy dei pazienti”.

Le perplessità di cui parla Soro partono dalle critiche che numerosi esperti stanno riversando in queste ore sul disegno di legge (tra cui l’ex Garante Privacy Francesco Pizzetti; ampio dibattito si sta sviluppando anche nella lista degli esperti del Centro Nexa del Politecnico di Torino). Tra i punti di domanda sollevati c’è la questione dell’anonimizzazione: la legge non entra nel merito di chi e come debba essere fatta, per tutelare la privacy degli italiani. Questione resa attuale dal fatto che le multinazionali tecnologiche sono già in corsa per ottenere dati personali dei cittadini con cui alimentare i propri sistemi di intelligenza artificiale, per esempio in ambito sanitario.

A riguardo, dice Soro, “non entro nel merito del progetto Watson sul quale è in corso una seria interlocuzione con la Regione Lombardia e che al momento è ancora in una fase preliminare nella quale il Garante ha necessità di raccogliere precisi elementi di valutazione”. Ibm, titolare del progetto, ha comunque assicurato a Repubblica che i dati “sarebbero trattati in base a regole precise e chiare, coinvolgendo tutte le associazioni e tutti quelli che hanno voce in capitolo”

Anonimizzare è una procedura molto complessa. Alcuni esperti invocano quindi l’arrivo di una disciplina rigorosa a riguardo. “Certo – dice Soro, un’efficace anonimizzazione dei dati dipende non solo dalle robustezza delle tecniche utilizzate, ma anche dalla granularità delle informazioni, dall’ulteriore utilizzo che ne posso fare e dalle tecnologie disponibili al momento del trattamento. Per questo è necessaria una valutazione caso per caso che preveda adeguate garanzie volte a scongiurare eventuali successive operazioni di re-identificazione”.

“L’adozione di queste cautele dovrebbe essere in capo al titolare del trattamento e non agli eventuali soggetti terzi riutilizzatori dei dati”, aggiunge Soro.

Un’altra questione sollevata in queste ore: se vi è interesse pubblico all’utilizzo di dati dei cittadini (per l’avanzamento della medicina, per esempio), i dati anonimizzati non dovrebbero essere resi pubblici?

“L’anonimizzazione è una dimensione non statica, ma dinamica dei dati: alcuni set di dati possono sembrare all’origine apparentemente aggregati e anonimi, ma ad una valutazione più approfondita rivelarsi tali da poter rendere poi re-identificabili gli interessati: ad esempio, se in un secondo momento vengono incrociati con altre banche dati con informazioni di dettaglio riferite agli stessi interessati oppure trattati con tecniche di re-identificazione non prevedibili all’origine. Per questo è necessario essere molto cauti quando si parla di rendere pubblici interi set di dati, anche se anonimizzati”, risponde Soro.

Di contro c’è chi, come Luca Bolognini, avvocato e Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati ritiene “fuori dal coro, che la nuova norma sia al contrario troppo rigida, al punto da minacciare la ricerca scientifica”.

Pizzetti concorda per quanto riguarda l’ostacolo alla ricerca scientifica in particolare genetica, dato che la norma vieta in tutti i casi l’utilizzo di questo tipo di dati (anche con il consenso degli utenti).

“Non c’è che da augurarsi – dice Bolognini – che il Governo, nell’esercitare la vera delega ex art. 13 L. 163/2017 per il riordino del Codice Privacy nei prossimi mesi, ponga urgente rimedio a questi macroscopici errori di politica del diritto e di visione strategica”.

PRIVACY POLICY