Questo articolo è stato pubblicato su AboutPharma Online l’8 giugno 2018.
Negli ultimi anni stanno emergendo in maniera sempre più preponderante interessi confliggenti all’utilizzo e sfruttamento dei dati personali, i quali, soprattutto in caso di big data, rappresentano dei veri e propri beni ad alto tasso di sfruttamento economico e quindi di enorme valore per operatori pubblici e privati delle aree e industrie più disparate.
Uno dei campi in cui maggiormente si evidenza questo conflitto è quello del healthcare, in cui, all’interesse del singolo paziente a mantenere il controllo sull’utilizzo, conservazione e trattamento dei propri dati sanitari (siano essi genetici, biometrici o in generale relativi alla salute), si contrappone l’interesse dei ricercatori, degli istituti di ricerca e delle aziende farmaceutiche a portare avanti la ricerca scientifica e l’innovazione, che, oggi come non mai prima, può trarre degli enormi benefici dall’utilizzo e dall’analisi dell’enorme mole di dati sanitari condivisi.
Fino ad oggi, le banche dati sono state infatti strettamente confinate all’esclusivo uso interno dei singoli enti, principalmente ospedali e Irrcs, nell’assenza di incentivi al loro trasferimento a soggetti terzi a causa, tra l’altro, di una normativa lacunosa, non chiara e scarsamente armonizzata tra gli stati.
Per una efficace sintesi degli interessi summenzionati e per creare effettivo valore sia in termini economici che di avanzamento nello ricerca, è indispensabile avere una impalcatura legale e tecnica atta a consentire una condivisione ed un flusso sicuro dei dati sanitari tra i proprietari dei dati, i medici ed i ricercatori, le strutture sanitarie, gli enti di ricerca e l’industria farmaceutica, prevenendo allo stesso tempo eventuali rischi di data breach e garantendo l’affidabilità e qualità del dato sanitario trattato.
Come risulta dai dati pubblicati dai principali analisti, il mercato nero dei dati sanitari è uno dei più lucrativi in assoluto e quindi uno dei più esposti al rischio di attacchi di hacker.
I dati del fenomeno sono preoccupanti come emerge chiaramente dal seguente specchietto:
Per far fronte a tale problematiche e raggiungere i vantaggi sperati, è necessario pertanto valutare quali siano gli strumenti legali e tecnologici a disposizione, come possano essere utilizzati ma anche e soprattutto come farli dialogare tra loro.
Utilizzo della tecnologia blockchain al fine di introdurre nuove modalità di condivisione dei dati. Il caso di My Health My Data
È solo recentemente che le istituzioni e gli operatori privati hanno iniziato a guardare con sempre maggior interesse alla tecnologia del blockchain quale strumento per permettere l’estrazione del massimo valore dei dati sanitari, garantirne la sicurezza ed assicurarne la portabilità.
Negli Stati Uniti d’America la Us Food and drug administration (Fda) ha intrapreso con Ibm Watson Health nel 2017 un progetto di ricerca volto a definire uno scambio sicuro, efficiente e scalabile di dati sanitari derivanti da diversi fonti, quali le sperimentazioni cliniche, le cartelle cliniche elettronica dei pazienti, i dispositivi mobile, i wearables ed in generale da qualsiasi dispositivo attinente al mondo dell’Internet of Things. Al momento le ricerche sono focalizzare sui soli dati relativi alle patologie oncologiche ed i primi risultati sono attesi a breve.
Contestualmente, in Europa è stato lanciato il progetto My Health My Data (“Mhmd”), finanziato dal programma europeo Horizon 2020, per lo sviluppo di una piattaforma europea di condivisione dei dati sanitari. Obiettivo dichiarato è quello di creare la prima rete aperta di informazioni biomediche incentrata sulla connessione tra organizzazioni e individui, incoraggiando, da una parte, gli ospedali a rendere disponibili i dati resi anonimi per la ricerca e, dall’altra, i pazienti a diventare gli effettivi proprietari e controllori finali dei loro dati sulla salute.
I principi intorno a cui dovrebbe svilupparsi e funzionare la piattaforma, sono quattro: (i) la creazione di account personali su cloud che permettano l’accesso da qualunque dispositivo ed in qualsiasi momento, (ii) lo sviluppo di un interfaccia che permetta un consenso dinamico (ossia che permetta al singolo proprietario del dato di assegnare, modificare, estendere o revocare i diritti di accesso ai propri dati); (iii) l’utilizzo di tecniche criptografiche e di una infrastruttura blockchain che permetta relazioni peer-to-peer tra i vari soggetti interessati garantendone la sicurezza e la non manomettibilità; (iv) l’utilizzo di smart contracts attraverso cui autonomizzare l’esecuzione di transazioni tra centri di ricerca, ospedali, aziende farmaceutiche ed i pazienti al ricorrere di determinate condizioni predefinite.
Una delle principali sfide che dovranno essere affrontate nell’ambito dei suddetti progetti sarà quella di assicurare la conformità ed il rispetto della relativa normativa privacy, con particolare riferimento, a livello europeo, al regolamento n. 2016/679, generalmente noto come Gdpr.
Tematiche legali
La liceità del trattamento si fonda sull’esistenza delle cd. basi giuridiche, specificate dall’art. 6 Gdpr, che devono necessariamente sussistere per legittimare il trattamento dei dati. Tali basi giuridiche, oltre al “famoso e storico” consenso del soggetto interessato a cui è riconducibile il dato (che deve essere fornito liberamente, informato e specifico per il trattamento del dato richiesto) si aggiungono altre forse meno note ai più quali ad es. la necessità di trattare i dati per adempiere ad un obbligo contrattuale o per rispettare obblighi di legge.
Oggi accountability, accessibilità, trasferibilità e sicurezza del dato sono alcune delle nuove parole d’ordine intorno a cui si sta muovendo l’innovazione normativa. Sottovalutare tali tematiche significa rischiare di rallentare enormemente la ricerca scientifica volta al miglioramento delle cure e dei trattamenti delle patologie nonché degli strumenti di diagnosi e di rendere i titolari di data base di dati sanitari e di biobanche vulnerabili ai rischi connessi alla cybersecurity.
Lo scorso 25 maggio 2018 è finalmente entrato in vigore il Gdpr il quale ha disciplinato molte delle tematiche summenzionate.
Da una analisi della normativa, emergono fin da subito potenziali criticità e incompatibilità tra l’effettivo utilizzo delle tecnologie di cui parlavamo nei paragrafi precedenti e la normativa privacy.
In primo luogo, seppur in linea teorica la tecnologia blockchain permetterebbe la revoca del consenso alla conservazione dei dati attraverso un sistema di consenso dinamico, in concreto potrebbe sussistere la difficoltà pratica di garantire una effettiva e totale cancellazione dei dati interessati dalla piattaforma cloud andando quindi a violare il diritto all’oblio del paziente.
In secondo luogo, sarebbe particolarmente delicato andare ad assicurare che l’automatizzazione delle transazioni e quindi dei trasferimenti dei dati tra più soggetti tramite smart contracts avvenga in conformità con l’esercizio del diritto fondamentale al consenso informato. A ciò si aggiungerebbe la complessità di permettere l’automatizzazione dei trasferimenti con la recente disciplina in materia di riutilizzo, tra cui la vendita ed il trasferimento, dei dati riconducibili a categorie “particolari” (esclusi quelli genetici), la quale prevede che il riutilizzo dei dati a fini di ricerca scientifica o a fini statistici può essere effettuata a condizione che siano adottate misure preventive di minimizzazione e anonimizzazione dei dati e che si sia ottenuta la previa autorizzazione del Garante della Privacy.
In ogni caso anche i rapporti contrattuali intercorrenti tra i principali soggetti attivi – titolare e responsabile del trattamento – e coinvolti nel trattamento dei dati personali (soprattutto se posti in essere con modalità tecnologiche avanzate, quali il blockchain o smart contracts) devono essere degni di attenzione, in quanto potenzialmente forieri di possibili problematiche che potrebbero pregiudicare la liceità del trattamento stesso. Ciò vale in particolar modo quando riferibili a contratti di sperimentazione scientifica in relazione alla quale il trattamento dei dati personali è parte principale della sperimentazione stessa.
Come noto, sia il titolare che il responsabile sono esposti a responsabilità solidale nei confronti del soggetto interessato che, in caso di illecito trattamento dei propri dati personali, potrà agire indistintamente nei confronti del titolare o/e del responsabile per richiedere ristoro dei danni subiti da trattamento illecito dei propri dati. Sarebbe opportuno, quindi, che il rapporto tra titolare – responsabile del trattamento (ora, con il Gdpr, necessariamente formalizzato in un contratto) sia legiferato in modo specifico, soprattutto tenendo conto del contesto in cui si opera (es. medico-sanitario/scientifico) e delle relative peculiarità (normativa regolamentare speciale). Il tutto, non solo per tutelare i dati personali oggetto di trattamento, bensì anche circoscrivere e predefinire il perimetro di azione e di conseguenti responsabilità del titolare e responsabile nella fase del trattamento. Infatti, fermo restando la responsabilità solidale del titolare e del responsabile verso i soggetti interessati al trattamento, qualora il danno reclamato dal terzo interessato fosse riconducibile ad un’“area di responsabilità” propria di una parte (es. del titolare o del responsabile) l’altra parte, ovvero quella adempiente, avrebbe titolo per agire nei confronti della parte inadempiente per ristorare i pregiudizi subiti dal relativo inadempimento.
La stesura e negoziazione del contratto (“ordinario” o “innovativo”) tra titolare e responsabile è dunque fase strategica e di fondamentale importanza in quanto è in tale momento che devono essere valutati una serie di elementi tecnici e giuridici che permettono alle parti di delineare il proprio ruolo attivo nella fase di trattamento dei dati, il tutto a garanzia dell’interessato a cui tali dati si riferiscono. Tuttavia, il più delle volte, tale fase non è presa in rilevante considerazione dagli operatori e viene del tutto snaturata con l’adozione di modelli di contratti che non solo non riflettono i tecnicismi richiesti dal settore di riferimento, bensì non rispecchiano nemmeno le esigenze richieste dagli operatori del settore. Pertanto, tale disallineamento non solo potrebbe provocare “incomprensioni” tra le parti durante lo svolgimento del relativo rapporto contrattuale, ma andrebbe altresì contro una delle finalità principali del Gdpr, ovvero di creare un’armonia tra le parti coinvolte nel trattamento dei dati per garantire i diritti e le libertà del soggetto interessato e permettere, allo stesso tempo, agli operatori commerciali/industriali (coinvolti nel trattamento) di svolgere la propria attività imprenditoriale.