Più cautele nell’uso dell’algoritmo per individuare i pazienti a rischio. Il Garante Privacy ha dato un sì condizionato allo schema di regolamento della Provincia autonoma di Trento riguardante la medicina di iniziativa nel servizio sanitario provinciale.
Il tema della medicina d’iniziativa – un modello assistenziale di gestione delle malattie croniche che punta sulla prevenzione attraverso l’analisi dei big data e l’uso dell’intelligenza artificiale – era già stato affrontato dal Garante nel parere reso lo scorso maggio sempre alla Provincia di Trento su un disegno di legge, poi divenuto legge. Già in quell’occasione l’Autorità aveva ritenuto che l’articolo del ddl, con il quale la Provincia intendeva introdurre una idonea base normativa per consentire il trattamento dei dati sanitari a fini di medicina d’iniziativa, presentasse numerose criticità.
La norma tendeva infatti a perseguire una pluralità di finalità (statistiche, di cura e amministrative) che si fondano su diversi presupposti di liceità e, per come era formulata, non consentiva di rispettare le specifiche garanzie che l’ordinamento assicura alla persona. Le criticità rilevate dal Garante si ritrovano ora nello schema di regolamento. Per giunta, il mancato invio all’Autorità della necessaria “valutazione d’impatto”, in base alla quale la Provincia avrebbe individuato le modalità con cui compiere delicate operazioni sui dati sanitari, anche attraverso l’uso di un algoritmo, pregiudica una piena valutazione del regolamento da parte dell’Autorità.
Lo schema di regolamento prevede inoltre l’acquisizione anche di dati relativi alle dipendenze, all’interruzione volontaria di gravidanza, alla maternità e ai registri tumori. Informazioni alle quali l’ordinamento riconosce tutele rafforzate, in particolar modo ai dati sull’aborto, al parto in anonimato, all’Hiv e alla fecondazione artificiale. Così come è previsto l’impiego di dati relativi agli accertamenti medico legali e a quelli effettuati dal medico competente sui lavoratori, che sono regolati da norme che ne limitano la conoscibilità.
Il Garante ha quindi richiamato la Provincia a trattare i dati nel rispetto delle norme di riferimento. L’Autorità ha poi chiesto all’Amministrazione di perfezionare il regolamento chiarendo la logica e le modalità attraverso le quali intende effettuare il trattamento con particolare riferimento all’individuazione dei soggetti a rischio attraverso l’uso di un algoritmo per l’analisi dei big data.
Nel regolamento, inoltre, dovrà essere ben specificato che i dati potranno essere diffusi solo in forma anonima, o in una forma che non consenta di risalire all’identità dei soggetti interessati.
Il Garante, infine, ha fornito puntuali indicazioni per conformare il Disciplinare tecnico allegato al regolamento alle regole e alle garanzie in materia di protezione dei dati.