L’utilizzo di sistemi informatici e digitali per il trattamento dei dati sanitari consente di velocizzare una serie di processi, ma allo stesso tempo espone tali dati ad accessi indebiti. Tra le priorità della sanità digitale, quindi, deve esserci la volontà di minimizzare i rischi utilizzando efficaci tecniche di anonimizzazione dei dati.
La normativa vigente in materia di protezione dei dati personali, rappresentata dal GDPR (Regolamento UE n. 2016/679) e dal Codice Privacy (D. Lgs. n. 196/2003), per il momento non riporta una definizione del termine “anonimizzazione”.
Un’interpretazione di “dato anonimo” è stata data dalla legge n. 675/1996. Primo testo normativo dedicato alla tutela dei dati personali in Italia, per dato anonimo” intende “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile”. Concezione poi riportata anche all’interno dell’art. 4 del Codice Privacy, ora abrogato.
Una definizione di “anonimizzazione”, invece, è contenuta nello standard ISO 29100:2011. Nel documento si legge che “l’anonimizzazione è un processo mediante il quale i dati personali vengono modificati in modo irreversibile così che il titolare del trattamento, da solo o in collaborazione con altre parti, non possa più identificare direttamente o indirettamente l’interessato”.
Al di là delle possibili denominazioni, l’anonimizzazione ricopre oggi grande importanza nell’ambito della sanità digitale e il Garante per la protezione dei dati personali è stato chiamato ad esprimersi in merito diverse volte.
Il 1° giugno scorso, per esempio, con il provvedimento n. 226 l’Autorità ha comminato una sanzione di 15.000 euro a una società che aveva trattato illecitamente i dati sanitari di numerosi pazienti in assenza di adeguate tecniche di anonimizzazione. In questo caso il Garante per la protezione dei dati personali ha appurato che la funzionalità “add-on” del software gestionale Medico 2000 non consentiva l’effettiva anonimizzazione delle informazioni raccolte dai medici di medicina generale, ma la sola pseudonimizzazione. Infatti, la semplice sostituzione dell’ID attribuito ai pazienti con un sistema di crittografia o con un codice hash irreversibile, non qualifica il trattamento come un’anonimizzazione.
Da questo esempio si evince come un dato possa essere considerato anonimo solo nel momento in cui non sia possibile procedere con l’identificazione diretta o indiretta della persona. Nello specifico, è necessario impedire che sia possibile:
- isolare una persona in un gruppo (single-out),
- collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (linkability),
- dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).
Due possibili tecniche di anonimizzazione dei dati vengono spiegate all’interno dell’Opinion 05/2014 on Anonymisation Techniques.
La prima tecnica è rappresentata dalla randomizzazione, che “modifica la veridicità dei dati al fine di eliminare la forte correlazione che esiste tra i dati e la persona”. Questo è possibile grazie all’aggiunta di rumore statistico (che prevede l’inserimento di piccoli cambiamenti causali nei dati per limitare la capacità di collegamento dei dati alla persona) o alla permutazione (che mixa i valori all’interno di un dataset affinché alcuni di questi risultino artificialmente collegati a diverse persone).
La seconda possibilità, invece, è la generalizzazione: un vero e proprio insieme di tecniche che riduce la granularità dei dati, così da renderli meno precisi rispetto a quelli di partenza e impedire il riconoscimento di persone precise.
Purtroppo per ora le tecniche di anonimizzazione presentano dei limiti intrinsechi e nessuna delle proposte dell’Opinion 05/2014 on Anonymisation Techniques è in grado di soddisfare con certezza i criteri di un’effettiva anonimizzazione.
La normativa in materia di protezione dei dati personali non ostacola il trattamento dei dati sanitari mediante sistemi digitali sempre più avanzati, ma sottolinea la necessità che tale trattamento avvenga nel pieno rispetto dei diritti e delle libertà fondamentali degli interessati.
M.M.