(Il Messaggero, 7 dicembre 2017)
Caro Direttore, la norma della legge europea 2017 sul riutilizzo dei dati sanitari a fini di ricerca scientifica e statistica ha suscitato molti commenti e diverse polemiche, spesso di segno opposto. Capisco che il tema, per le sue implicazioni di ordine etico e per la sua complessità tecnica, possa suscitare perplessità. E tuttavia mi sembra che quella disposizione, in combinazione con il generale sistema giuridico di protezione dei dati personali, possa comunque consentire puntuali garanzie per conciliare da un lato, l’esigenza di fare avanzare la medicina favorendo la ricerca scientifica, la competitività e l’evoluzione tecnologica e, dall’altro, quella di proteggere il diritto alla riservatezza e la dignità dei pazienti.
Va prima di tutto ricordato che l’ordinamento europeo non impedisce il riuso dei dati per finalità di ricerca scientifica: ma lo condiziona a precise procedure di cautela, sulla base di un rigoroso bilanciamento tra il diritto alla privacy degli interessati e altre rilevanti finalità di interesse pubblico.
La norma della legge europea, oggetto dell’attuale dibattito, contiene almeno due indicazioni importanti. Innanzitutto qualunque progetto di riutilizzo dei dati sulla salute per essere sottoposto al vaglio del Garante e ottenerne il via libera dovrà dimostrare, preventivamente, in linea con il principio di responsabilizzazione introdotto dal nuovo Regolamento europeo sulla privacy, di aver predisposto adeguate misure di protezione dei dati.
Dovrà in particolare essere documentata l’adozione di idonei accorgimenti tali da ridurre, ragionevolmente, i rischi di re-identificazione degli interessati.
L’attuale contesto tecnologico è infatti caratterizzato dalla crescente digitalizzazione degli archivi sanitari, dall’aumento esponenziale della circolazione dei dati in via telematica e da nuove e sofisticate potenzialità di elaborazione da parte di soggetti i quali non hanno un rapporto diretto con gli interessati.
Tutto questo, unitamente all’utilizzo di strumenti sempre più raffinati di re-identificazione e profilazione, sulla base di logiche il più delle volte imprevedibili e inaccessibili agli stessi interessati, ci mostrano come gli istituti tradizionali di garanzia, quali l’informativa e il consenso rischiano di non essere più, da soli, strumenti efficaci per la protezione dei dati dei pazienti.
E d’altra parte, nella disciplina italiana della privacy nell’ambito della ricerca medica, da molti anni, l’autorizzazione del Garante consente di derogare al consenso e all’informativa individuale, in presenza di specifici requisiti, quali ad esempio, il parere favorevole del comitato etico e la difficoltà di ricontattare gli interessati a causa del loro ingente numero.
Il provvedimento di autorizzazione del Garante previsto dalla norma in questione, assistito dall’istituto del silenzio-rigetto, va visto come un presidio di tutela incisivo e tutt’altro che generico. Spetterà infatti all’Autorità non solo valutare l’idoneità delle soluzioni adottate ma anche stabilire le misure informatiche, organizzative e contrattuali, necessarie per la protezione dei dati. E spetterà al soggetto che possiede i dati, sia esso la Regione o la ASL, predisporre un sistema di tutele per i diritti degli interessati, secondo il principio della privacy by design.
Naturalmente l’Autorità dovrà vigilare ed esercitare tutti i necessari controlli perché non vengano disattese le misure a garanzia dei cittadini: un compito che intende svolgere con rigore e senso di responsabilità.