Dati sanitari, il Garante privacy chiarisce quando è vera anonimizzazione

Condividi questo articolo

Il Garante privacy ha sanzionato la società Thin Srl per aver trattato illecitamente i dati sanitari di numerosi pazienti raccolti presso circa 7mila medici di medicina generale (Mmg), senza adottare idonee tecniche di anonimizzazione, chiarendo il corretto ambito di applicazione del GDPR. Ecco cosa impariamo

Pubblicato il 28 Lug 2023

Marina Rita Carbone

Consulente privacy

Nel settore della ricerca scientifica, il tema dell’anonimizzazione dei dati costituisce uno degli argomenti più sensibili e discussi. Da un lato, infatti, la ricerca medica e scientifica necessita di data base quanto più completi possibile per poter effettuare studi efficaci; dall’altro lato, vi è la necessità di tutelare la riservatezza del paziente e delle informazioni che lo riguardano.

Al fine di consentire il rispetto di entrambe le descritte necessità, le Autorità ed i legislatori – sia nazionali che europei – hanno fatto leva sul concetto di anonimizzazione, rendendo anche diverse interpretazioni su cosa debba effettivamente intendersi per “dato anonimizzato”.

Indice degli argomenti

Il provvedimento su Thin dal Garante privacy

È in questo filone giurisprudenziale che si colloca il recentissimo provvedimento del Garante Privacy, con il quale è stata comminata ad una società una sanzione di 15mila euro per trattamento illecito di dati sanitari dovuto alla mancata adozione di tecniche di anonimizzazione. Thin ha fatto ricorso.

WHITEPAPER

Cosa si può chiedere a ChatGPT? Scarica la guida 2023: consigli per l’uso, esempi ed opinioni

Realtà virtuale

Robotica

Inizio modulo

Leggi l'informativa sulla privacy

  • Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)

Fine modulo

L’Autorità, nel provvedimento che si andrà nel seguito meglio a discutere, afferma, richiamando un parere del 2014 reso dal Gruppo di lavoro Articolo 29 (ora EDPB), che per poter considerare un dato sanitario effettivamente “anonimizzato” non è sufficiente la sostituzione dell’ID del paziente con un sistema crittografico o un codice hash irreversibile, non essendo detti sistemi di sicurezza sufficienti rispetto al requisito della rimozione delle singolarità (single out) richiesto per potersi parlare effettivamente di dato anonimizzato.

Sul tema si è formata anche autorevole giurisprudenza della Corte di Giustizia Europea, che ha dettato ulteriori parametri per la qualificazione del dato come “personale”, affermando, in particolare, che il dato possa ritenersi non anonimo soltanto quando il destinatario dei dati – anche pseudonimizzati – abbia la “ragionevole” possibilità di combinare le informazioni in suo possesso con i dati ricevuti, consentendo la re-identificabilità del soggetto cui dette informazioni si riferiscono.

Nota è la sentenza resa nel Caso Deloitte, nel quale si precisava che per poter essere considerati anonimi, i dati dovrebbero essere sottoposti dalle autorità garanti ad un test di re-identificabilità, teso a stabilire se il destinatario dei dati “anonimizzati” abbia effettivamente la possibilità, con gli strumenti concretamente utilizzabili da quest’ultimo, di consentire la re-identificazione di uno specifico soggetto.

L’oggetto dell’istruttoria

La sanzione trae origine da un’istruttoria avviata dal Garante a seguito della segnalazione, da parte di un medico di base, di una potenziale violazione della normativa privacy da parte della società Thin Srl. Lo scopo della società era quello di raccogliere, in forma “anonimizzata”, dati che avrebbero consentito, a fronte del riconoscimento di un compenso economico, lo svolgimento di attività di ricerca medica internazionale volte a migliorare le cure rese ai pazienti mediante la raccolta e l’analisi dei dati sanitari in possesso dei medici di medicina generale.

Più nel dettaglio, l’obiettivo perseguito era quello di raccolta e analisi di dati clinici anonimi “real life” per “garantire progressi nella cura del paziente e negli outcome clinici ed accrescere la comprensione del percorso di cura del paziente”.

La raccolta dei dati sarebbe avvenuta per il tramite di un add-on del gestionale “Medico 2000” in uso ai medici di base, fornito da una società terza partner della Thin Srl, Mediatec Informatica S.r.l. Mediante detta funzionalità aggiuntiva i medici avrebbero potuto, secondo quanto illustrato dal Garante nel suo comunicato, anonimizzare automaticamente i dati dei pazienti e trasmetterli in un data base gestito dalla società.

Per i medici di medicina generale aderenti all’iniziativa si prevedeva, inoltre:

  1. la fornitura di servizi aggiuntivi che consentirebbero “di avere costantemente a disposizione un complesso di informazioni, completo ed aggiornato, sulle condizioni di salute dei propri pazienti e sull’andamento delle prescrizioni ad essi dispensate, al fine di seguire, tra l’altro, l’evoluzione dei trattamenti farmacologici già disposti ed in corso”;
  2. un “sistema esperto avanzato” in supporto dello svolgimento della loro attività professionale e che consentirebbe altresì di accedere a report scientifici per diventare “medici ricercatori”.

Oggetto dell’istruttoria, dunque, è stato il funzionamento di detto componente aggiuntivo e la funzione di anonimizzazione implementata a tutela dei dati sanitari trasmessi, al fine di verificare se le misure di sicurezza implementate sul sistema consentissero effettivamente il raggiungimento di un livello di anonimizzazione dei dati adeguato o se, invece, come poi il Garante ha concluso, le misure adottate non fossero sufficienti.

Il funzionamento dell’add-on

Nel corso dell’istruttoria, Thin S.r.l. osservava come il sistema adottato per la raccolta dei dati sanitari fosse coerente con le indicazioni rese nell’ “Opinion 05/2014 on Anonymisation Techniques” emessa dal Gruppo di Lavoro ex 29 e come fossero state implementate una serie di misure volte a garantire la minimizzazione dei dati attraverso tecniche di generalizzazione degli stessi (es: la residenza verrebbe indicata solo con riferimento alla Regione, mentre la data di nascita ed eventuale morte, solo con riferimento all’anno).

Più nel dettaglio, l’add-on, secondo quanto riportato da Thin S.r.l., funzionava secondo il seguente schema:

  1. i “Medici Ricercatori, titolari del trattamento dei dati dei pazienti e del trattamento che porta alla loro anonimizzazione (…), inviano a Thin S.r.l. solo un sottoinsieme di dati già precedentemente anonimizzati”;
  2. il medico autorizza l’invio dei dati anonimizzati spuntando una specifica casella, dopo “questa autorizzazione l’invio avviene in modo automatico. Il modulo aggiuntivo contiene una funzionalità che consente al Medico Ricercatore di escludere l’invio dei dati anonimi di quei pazienti che ne negano l’autorizzazione”;
  3. “i dati estratti e anonimizzati vengono criptati in un file compresso e trasferiti in modalità incrementale, tramite connessione protetta, al server del progetto Thin” localizzato in Francia;
  4. “Il processo di anonimizzazione si realizza direttamente sulla postazione del medico con modalità tali da garantire e assicurare la non identificabilità e re-identificabilità dell’interessato, implementando una serie di tecniche di de-identificazione strutturate, prendendo come riferimento l’”Opinion 05/2014 on Anonymisation Techniques”;
  5. “Un elemento chiave per l’anonimizzazione è la sostituzione non reversibile dell’identificatore del paziente con un identificatore (GUID) ottenuto utilizzando l’hash calcolato tramite l’algoritmo sicuro SHA-256 di un valore estratto in modo randomico (…)”;
  6. “nessuna informazione sull’identità dei pazienti (c.d. identificatori) verrà quindi trasmessa a THIN”.

L’add-on, inoltre, avrebbe rimosso o ridotto la raccolta di specifici attributi quali quelli relativi al “Patient Marital e Patien Education” rendendo, unitamente alle ulteriori misure implementate, i dati anonimizzati in modo non reversibile.

Di conseguenza, i dati personali, fino al momento in cui sono resi anonimi, sarebbero stati gestiti sempre e solo dal medico di base, senza alcun intervento da parte di Thin S.r.l.

Le contestazioni del Garante privacy

Il Garante, a fronte degli elementi acquisiti in istruttoria e delle osservazioni avanzate da Thin S.r.l., rilevava la violazione di alcuni principi sul trattamento dei dati personali sanitari, osservando in particolare che:

  1. la Thin s.r.l. fosse da qualificarsi quale titolare del trattamento, perseguendo una propria specifica finalità e i mezzi di raccolta dei dati “anonimi”, e che pertanto la raccolta dei dati personali avvenga “in assenza di un valido presupposto giuridico e in violazione del principio di correttezza (art. 5, par. 1 lett. a) e 9, par. 2 del Regolamento)”, sull’erroneo presupposto che i dati raccolti attraverso l’add-on fossero effettivamente anonimi;
  2. che, pertanto, il trattamento fosse avvenuto anche in violazione dell’obbligo di rendere agli interessati un’idonea informativa ex art. 13 GDPR;
  3. che, da ultimo, trattandosi di trattamento ad alto rischio, il trattamento era stato attuato anche in violazione dell’art. 36 GDPR, che impone la consultazione preventiva del Garante.

La società, ad ogni modo, contestava ulteriormente quanto asserito dal Garante, insistendo nella congruità delle misure di sicurezza applicate al progetto, e nella loro conformità ai migliori principi e prassi internazionali di riferimento, come certificato anche da società terze ed indipendenti che avevano provveduto a svolgere sui sistemi degli audit preliminari, attestando che il progetto risultava coerente con le finalità perseguite e che le tecniche di anonimizzazione utilizzate fossero in linea con gli standard della ricerca per “uso secondario”.

L’anonimizzazione e la pseudonimizzazione

Il Garante, in esito all’istruttoria, afferma tuttavia nel proprio provvedimento che per poter correttamente parlare di anonimizzazione, e dunque non ricadere nell’ambito di applicazione del GDPR, deve essere garantito il requisito dell’impossibilità di identificazione “diretta o indiretta di una persona, tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato”.

Di conseguenza, il processo di anonimizzazione, per essere definito tale, deve impedire che si possa:

  1. isolare una persona in un gruppo (single-out);
  2. collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (linkability);
  3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

Nel caso di specie, osserva il Garante, l’add-on non viene ritenuto tale da consentire di anonimizzare le informazioni: “la mera sostituzione dell’ID del paziente con un codice hash irreversibile da questo ottenuto non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare il trattamento come un’anonimizzazione: ciò è ribadito dall’affermazione del Gruppo di lavoro Articolo 29 in virtù della quale “affidarsi semplicemente alla solidità del meccanismo di crittografia quale misura del grado di “anonimizzazione” di un insieme di dati è fuorviante, in quanto molti altri fattori tecnici e organizzativi incidono sulla sicurezza generale di un meccanismo di crittografia o di una funzione di hash” (Parere 05/2014 sulle tecniche di anonimizzazione)”.

Inoltre, continua il Garante, “dai documenti in atti, risulta che il mantenimento dell’univocità dei record è un requisito del trattamento in quanto ritenuto indispensabile per osservare la storia clinica di uno specifico paziente nel tempo (ad es. se l’assunzione di un determinato farmaco abbia generato particolari effetti, ovvero se una determinata patologia sia correlabile ad altre patologie ecc.)”.

Anche la previsione di una terza parte del flusso di dati, che scarta o effettua operazioni aggiuntive sui record, con successiva sostituzione dell’hash con un codice progressivo, non è risolutiva: “infatti introduce unicamente un’ulteriore separazione di responsabilità nell’identificazione dell’interessato tramite un intervento di carattere meramente organizzativo non in grado di scongiurare la presenza di singolarità del data set finale presso la terza parte. Pertanto, l’introduzione di una terza parte, pur rappresentando un’ulteriore misura tecnica e organizzativa volta a rendere la re-identificazione dell’interessato semplicemente più complessa, vista l’ulteriore separazione delle responsabilità, non modifica la natura del dato trattato che continua a mantenere il carattere di “dato personale” e quindi, in quanto tale, soggetto alla disciplina in materia di protezione dei dati personali”.

La tecnica di k-anonimity utilizzata, di conseguenza, ossia la tecnica di raggruppamento degli interessati sulla base di combinazioni di attributi generalizzati in modo tale da rendere almeno k soggetti non distinguibili tra di loro, “perde efficacia laddove, come nel caso in esame, a ciascun individuo sia associato un hash univoco (codice crittografico) seppur reso più complesso dalla presenza di un elemento di disturbo ignoto (salt).”

Di conseguenza, il trattamento era da ritenersi attuato su dati pseudonimizzati (trattati ossia in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”), e dunque in violazione dei principi e delle tutele di cui al GDPR, non ricadendo i dati pseudonimizzati al di fuori dell’applicabilità del Regolamento.

WHITEPAPER

Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)

Sicurezza

Legal Risk Management

Inizio modulo

Leggi l'informativa sulla privacy

E-mail

  • Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)

Fine modulo

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

  •  
  •  
  •