Indica un intervallo di date:
  • Dal Al
©credits

Il caso IBM Watson Health Center pone in luce la mancanza di regole sulla proprietà dei Big Data.

Numerose testate giornalistiche ed esperti considerano ormai assodato che il nuovo articolo 110 bis del Codice Privacy Italiano sia stato introdotto in tutta fretta, attraverso la Legge Europea del 27 novembre 2017, al fine di consentire al Governo Italiano di poter onorare l’accordo stipulato con IBM il 31 Marzo 2016 a Cambridge (MA) volto alla realizzazione Watson Health Center di IBM a Milano. Secondo il Fatto Quotidiano, nell’ambito di tale accordo quadro, si sarebbe stipulato un accordo specifico volto al trasferimento ad IBM di dati sanitari dei cittadini italiani, a partire da quelli dei cittadini lombardihttp://bit.ly/2Bkpxi2

Tuttavia il quadro dispositivo Europeo non impedisce al Legislatore Italiano di iniziare ad implementare le regole sul trattamento dei dati personali per scopi di ricerca scientifica, iniziando con le regole sul riutilizzo dei dati sensibili. Nè il nuovo Articolo 110bis viola alcuna delle disposizioni del Regolamento Europeo, che entrerà in vigore nel Maggio del 2018.  Si veda in merito all’opportunità di inserire tale disposizione nella Legge Europea  http://bit.ly/2BhG6uZ

Sarà in ogni caso interessante capire come il Garante valuterà tale trasferimento di dati sanitari all’ IBM, sempre che sia confermata la natura e l’oggetto del contratto indicata dalle fonti giornalistiche menzionate.  In particolare 3 questioni giuridiche relative alla protezione dei dati personali rilevano più di tutte:

  1. L’interpretazione che farà il Garante della definizione di “scopo di ricerca scientifica”. Questa interpretazione è fondamentale perchè da essa deriva l’applicazione o meno del regime agevolato previsto dal GDPR per il trattamento di dati personali per scopo di ricerca scientifica. Da tale interpretazione deriva la possibilità di derogare alla golden rule del consenso specifico e informato (sulla base della deroga prevista dall’Articolo 5.1 b del GDPR per la ricerca scientifica).  Si veda in merito http://bit.ly/2yZPiDG  Il GDPR infatti, a differenza del Codice Deontologico Italiano per il trattamento dei dati per scopo di ricerca scientifica e statistica del 2004, non limita l’applicazione del regime agevolato sulla base di requisiti soggettivi, e quindi anche società private e enti commerciali (non solo enti di ricerca e università) possono avvalersi di tale regime per i trattamenti di dati svolti per scopo di ricerca scientifica. Tuttavia, così come avviene per quei progetti scientifici che prevedono una successiva fase di sfruttamento economico dei risultati della ricerca (attraverso la creazione di spin-off o altro), anche nel caso di IBM non si potranno applicare le deroghe (ma dovrà invece ottenersi consenso specifico e fornire l’ informativa) quando i dataset risultanti dall’attività di ricerca sono poi sfruttati commercialmente. Quest’ultimo è però  in pratica un falso problema, perchè nella fase di utilizzo commerciale dei dataset, i dati dovrebbero essere già  stati sottoposti a procedure di anonimizzazione e dunque le regole del GDPR non trovano più applicazione. Ciò significa altresì che l’ente destinatario dei dataset dovrà adottare misure organizzative volte a tenere ben distinte le attività di ricerca da quelle volte alla realizzazione di prodotti commerciali, e conseguentemente tenere anche i dataset “fisicamente” distinti, per fare in modo che il regime agevolato si applichi limitatamente ai trattamenti effettivamente svolti per scopo di ricerca.
  2. Rimane forte il dubbio che il regime agevolato possa applicarsi al trasferimento dei dati da parte dell’ente pubblico verso l’ente privato, visto che il trasferimento è considerato dal GDPR come una forma di trattamento di dati. E se è vero che tale trasferimento viene svolto dall’ente pubblico come prestazione intesa ad onorare l’Accordo volto alla creazione del Centro Watson Health, possiamo considerare tale trasferimento svolto per scopi di ricerca?
  3. Anonimizzazione. L’Articolo 110bis introdotto dalla Legge Europea prevede che il Garante possa autorizzare per finalità di ricerca scientifica o scopi statistici “il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee alla tutela degli interessati”. Tuttavia, se i dati sono effettivamente anonimizzati le regole sulla protezione dei dati personali non si applicano e quindi il problema viene eliminato alla base. D’altro canto il GDPR ha introdotto una definizione molto restrittiva del concetto di dato “anonimizzato”; questo significa che certe tecniche di pseudonimizzazione che potevano prima considerarsi idonee per anonimizzare i dati, ora non lo sono più. Se i dati sono solamente pseudonimizzati le regole del GDPR si applicano, e in particolare si applicheranno quelle del regime agevolato se il trattamento è svolto per scopi di ricerca scientifica,
  4. Infine uno degli aspetti maggiormente rilevanti deriva dall’applicazione del principio del cd. “Universal Access to all bona fide analytical users” secondo cui dataset realizzati con fondi pubblici o attraverso attività finanziate con risorse pubbliche, dovrebbero poter essere accessibili da parte di altri enti di ricerca e ricercatori. Si veda http://bit.ly/2nT0CwK

Tale ultimo aspetto, che trova una scarna regolamentazione nel Codice Deontologico del 2004, è supportato da certe normative Europee applicabili ai progetti finanziati attraverso Horizon e attraverso l’ERC. Si tratta di profili giuridici, non limitati al diritto alla protezione dei dati, ma altresì interferenti con il diritto della concorrenza, le regole antitrust, nonchè le regole sulla trasparenza dell’attività amministrativa. Tali profili rilevano in casi come quello che coinvolge IBM, ma mancano delle regole precise. Si legga in merito http://bit.ly/2nT0CwK

Infine il caso del Watson Health Center è rilevante perché obbligherà il legislatore italiano a riflettere sul problema giuridico della titolarità (“ownership”) dei dataset. Anche questo profilo non trova per ora alcuna regolamentazione, neppure a livello europeo. Eppure problemi analoghi si presenteranno sempre più spesso con il graduale consolidarsi delle piattaforme che offrono servizi di telemedicina.

Il Garante si è già pronunciato in una serie di casi riguardanti forme di telemonitoraggio a distanza, come il caso della delibera del 29 Novembre 2012 relativo ad un sistema RFID di monitoraggio a distanza di pazienti portatori di defibrillatori. In materia di telemedicina sono state emanate delle Linee Guida approvate dalla Conferenza Stato Regioni cui è seguito un Codice di Autoregolamentazione della FIMMG. Tali disposizioni sono però palesemente inadattate a regolamentare il fenomeno della telemedicina nelle forme in cui molto probabilmente si manifesterà nei prossimi anni. Infatti per telemedicina in senso stretto si intende la possibiltà di somministrare l’atto di cura o diagnosi a distanza grazie a tecnologie ICT,  ma è evidente che (a causa dell’onerosità sia delle responsabilità in termini di compliance sia delle tecnologie e investimenti necessari per erogare tali servizi), solamente le multinazionali dell’ICT potranno garantire la realizzazione e gestione di piattaforme che permettano ai professionisti di interfacciarsi con i pazienti. Questi modelli di gestione del servizio saranno quindi caratterizzati dalla raccolta di un enorme mole di dati sanitari da parte del gestore della piattaforma, e tali dati hanno un valore economico superiore a quello dei dati grezzi in quanto il valore dei dati grezzi è arricchito da quello derivante dalle analisi diagnostiche e dalle prescrizioni sui trattamenti medici svolte dai professionisti (i quali si interfacciano con i propri pazienti attraverso la piattaforma). Il problema della titolarità di questi dataset diventerà dunque talmente rilevante da non poter più essere trascurato. 

La tematica della titolarità dei dataset è di primaria rilevanza anche nel caso dell’accordo tra Governo Italiano e IBM di cui si discute. Dalla soluzione di tale questione deriva anche la legittimità o meno di un ente pubblico di trasferire tali tipologie di dataset.  Non si tratta di certo di materia di competenza del Garante. In realtà il tema della “ownership” dei dataset è stato oggetto di un grande dibattito negli Stati Uniti in relazione alla rilevanza economica dei big data. In Europa la Commissione Europea ha evidenziato (in una Comunicazione del 2014 sulla “Data Driven Economy” ) e più recentemente nel contesto della Free Flow of Data Initiative del 2016 che esistono barriere legali al pieno sviluppo dell’economia basata sui Big Data a causa della mancata regolamentazione di questioni giuridiche fondamentali relative alla cd. “data ownership”.  Se è vero che non vi è allo stato attuale una normativa europea che disciplini la questione della titolarità dei dati, nulla esclude che possano applicarsi le normativa sul diritto d’autore, trade secrets o sulla tutela delle banche dati. Tuttavia tali normative sono state concepite per tutelare un diverso tipo di valore e di investimento economico. A ciò si aggiunge il problema di regolare il trasferimento di big data da parte di enti pubblici, visto che i big data non si prestano certamente all’applicazione delle regole sull’alienazione dei beni pubblici tradizionali.