2019-07-01
Le Asl vendono i dati dei malati
Da Nord a Sud, le Aziende sanitarie hanno ceduto per pochi soldi informazioni sensibili sui pazienti a una multinazionale. Tutto legale. Ma la nostra privacy potrebbe essere in pericolo.L'esperto: «Le identificazioni sono possibili. E fanno gola a case farmaceutiche, assicurazioni e finanziarie».Lo speciale contiene due articoliDati, informazioni, business. Tutto quel che ci circonda, ormai, ruota attorno ai dati. Siamo esposti a tal punto da non renderci conto della mole di nozioni che regaliamo a grandi aziende multinazionali, e non solo. Ma che succede se a finire sul piatto sono le informazioni che potrebbero riguardare la nostra salute?Qualche settimana fa ha fatto discutere un articolo pubblicato sul sito Cronachelucane.it nel quale si dà conto della convenzione sottoscritta dall'Azienda sanitaria di Potenza con la Iqvia solutions Italy srl, filiale italiana di una delle multinazionali leader nel settore dei servizi in ambito sanitario. Oggetto dell'accordo: la cessione a titolo non esclusivo dei «dati relativi agli acquisti e ai consumi di specialità medicinali, farmaci generici e vaccini e qualunque altro prodotto medicinale». Il prezzo di un caffèNel testo si legge che l'acquirente è «una società operante nella raccolta, elaborazione e commercializzazione di dati e studi statistici di mercato per l'industria farmaceutica ed è interessata a disporre e a utilizzare, per la propria attività d'impresa, i dati raccolti secondo opportune metodologie statistiche». L'importo concordato per la trasmissione delle informazioni è decisamente contenuto: si parla infatti di appena 10.000 euro (Iva esclusa) per un triennio. Ma ciò che fa più riflettere si trova nel terzo comma dell'articolo 6: «Terminata l'attività di elaborazione dei dati, indipendentemente dalla durata del contratto, i risultati dell'indagine potranno essere liberamente ceduti da Iqvia a propri clienti, aziende interessate al settore farmaceutico, enti pubblici e altre controparti di Iqvia nell'ambito della propria attività d'impresa».Quello dell'Asp lucana non è un caso isolato. Da Nord a Sud, negli ultimi anni la Iqvia Italia ha stipulato accordi con un certo numero di strutture sanitarie pubbliche. Da quello che ha potuto appurare La Verità, oltre all'Asp di Potenza nell'elenco figurano l'Asst di Cremona (20.000 euro iva esclusa), l'Aosg Moscati di Avellino (15.000 euro), l'Aou Federico II di Napoli (20.000 euro), l'Aorn Ospedale dei Colli di Napoli (23.000 euro), l'Asst Ovest Milanese (38.000 euro), l'Irccs Istituto nazionale dei tumori (40.000 euro) e l'Asl Verbano-Cusio-Ossola (16.500). Eccezion fatta per quest'ultima, che ha sottoscritto un contratto quadriennale, tutte le altre organizzazioni si sono legate all'Iqvia per tre anni. Stabilire il valore del singolo dato non è possibile, ma se rapportiamo gli importi dei contratti al numero di ricoveri in queste strutture nel 2017, il dato ricavato fa un certo effetto: meno di un euro. In sostanza, neppure un caffè al bar.Scopi di lucro?Già la legge 167 del 2017, approvata ai tempi del governo Gentiloni, specificava che «nell'ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, a esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati». Resta da capire se nel caso specifico dei contratti sottoscritti dalle aziende sanitaria ci troviamo ancora nel campo della ricerca oppure se, una volta acquisiti, i dati entrino in un circuito commerciale vero e proprio. Nonostante i numerosi tentativi, Iqvia non ha dato riscontro alle nostre richieste di chiarimento in merito, né in forma scritta né per via telefonica. Più disponibili al dialogo, invece, le strutture ospedaliere coinvolte. Contattato dalla Verità, il responsabile dell'ufficio Affari legali del Moscati di Avellino ha dichiarato: «Stiamo discutendo di un mero dato statistico. Non riteniamo necessario informare i pazienti dal momento che non c'è alcun trattamento del dato. Numeri, stiamo parlando solo di numeri. Non riteniamo ci sia alcuna forma di violazione della privacy. Il paziente è un numero, un'entità astratta, utile a fini statistici. Non c'è distinzione né di età né di genere, è un dato statistico generale, niente di più». Alla domanda su quali siano i criteri utilizzati per definire il prezzo di vendita, il nostro interlocutore ci invita a rivolgerci alla responsabile della farmacia dell'ospedale, che raggiunta al telefono, taglia corto: «I dati sono tutti coperti, non c'è alcuna cessione, è una collaborazione. Questi numeri sono quantitativi, non riconducibili ai pazienti».«Abbiamo fatto delle riunioni nel corso delle quali ci siamo interrogati sul rinnovo della convenzione» con Iqvia, ci spiega invece la dottoressa Marisa Di Sano, direttore del Provveditorato ed economato dell'Azienda ospedaliera di Caserta. Spulciando in Rete, è possibile trovare traccia di una riunione che si è tenuta nel maggio del 2018, durante la quale il vertice della struttura si trova a discutere circa l'opportunità di proseguire la collaborazione con la multinazionale, dal momento che «non risulta chiara e ben definita la modalità, il metodo e il rispetto della segretezza dei dati prelevati ai sensi della vigente normativa sul trattamento dei dati sensibili». La convocazione nasce dalla richiesta formale inoltrata un mese prima dall'avvocato Edoardo Chianese, direttore Affari generali e legali. Chianese invita i direttori a esprimere un parere sul rinnovo, facendo presente che «le informazioni chieste in convenzione possono rappresentare dati sensibili ed esprimono, in estrema sintesi, cessione di dati aventi valore commerciale». Nonostante i dubbi, qualche mese dopo la dirigenza dell'ospedale ritiene di dare comunque il nullaosta al rinnovo dell'accordo.Discorso analogo anche per l'Irccs Istituto nazionale dei tumori. «I dati che vengono raccolti dalla società Iqvia», spiega un referente alla Verità, «sono esclusivamente “dati di impiego di farmaci e dispositivi medici" forniti in forma anonima e aggregata, e non “dati personali". Pertanto non si applica il quadro regolatorio sulla protezione dei dati personali e non è richiesto alcun tipo di obbligo di informativa». Riguardo all'utilizzo dei proventi ricevuti dalla vendita, l'Istituto dichiara che questi confluiscono «in un fondo utilizzato dalla Struttura complessa Farmacia per supportare prevalentemente le attività di ricerca scientifica, che è una delle due principali attività istituzionali condotte dalla Fondazione Irccs. Parte dell'importo ricevuto può essere quindi investito in Borse di studio e/o aggiornamenti tecnologici necessari alla Sc Farmacia».I dubbi dell'ex garanteMa è davvero così semplice garantire che, a partire da un certo dato, non si riesca a risalire al paziente? Secondo Francesco Pizzetti, presidente dell'Autorità garante per la protezione dei dati personali dal 2005 al 2012 e docente universitario, «un'informazione è davvero anonima quando anche chi la cede non è in grado di spiegare a quale persona fisica, identificata o identificabile, sia riconducibile: in campo sanitario, nessun dato è completamente anonimizzato». «Anonimo», continua Pizzetti, «non significa solamente trasmesso senza identificativo o nominativo del paziente: occorre garantire che il dato non si possa in alcun modo riassociare alla persona cui si riferisce, se non con un'attività particolarmente complessa e onerosa, difficile da mettere in atto». Secondo l'ex Garante, «tra le attività istituzionali di una Asl non rientra di certo la vendita di dati a società che realizzano indagini di mercato. Le Asl hanno i dati per curare i pazienti, non certo per commerciarli».Quando di mezzo c'è la salute, mettere d'accordo le esigenze della ricerca scientifica, il diritto dell'individuo alla privacy e le necessità commerciali delle aziende diventa un'impresa sempre più ardua. Nonostante tutti i caveat, a livello globale il giro d'affari legato alla compravendita dei dati sanitari si fa sempre più importante e, per quanto difficile da quantificare, si può misurare nell'ordine dei miliardi di euro all'anno. La sola holding della Iqvia ha generato nel 2018 ricavi per 10,4 miliardi di dollari (9,1 miliardi di euro circa) e utili per 259 milioni di dollari (227 milioni di euro circa). Ma non c'è solo il business legale. Una buona fetta delle transazioni che riguardano le informazioni sanitarie viene scambiata sul dark Web, il lato oscuro della Rete che racchiude tutto ciò che non è raggiungibile tramite un comune motore di ricerca. Secondo una ricerca pubblicata poche settimane fa dalla società di cybersicurezza Carbon Black, anche il mercato nero dei dati sanitari è una realtà fiorente. Si va dai 500 dollari per una finta laurea in medicina, a importi tra i 10 e i 120 dollari per ottenere documenti utili a realizzare frodi (ad esempio, ricette mediche e tessere), fino a poco più di 3 dollari per le credenziali dei portali assicurativi. Per contro, le aziende sono sempre più preoccupate per via dei continui attacchi informati. Nel report in questione si legge che l'83% delle organizzazioni del campo medico ha rilevato un incremento degli attacchi in rete, mentre il 66% ha notato che i cyberattacchi sono diventati sempre più sofisticati. Dati che rendono l'idea di quanto sia delicata la posta in gioco quando si parla di dati sanitari.<div class="rebellt-item col1" id="rebelltitem1" data-id="1" data-reload-ads="false" data-is-image="False" data-href="https://www.laverita.info/le-asl-vendono-i-datidei-malati-2639036216.html?rebelltitem=1#rebelltitem1" data-basename="senza-controlli-lanonimato-e-a-rischio" data-post-id="2639036216" data-published-at="1758063958" data-use-pagination="False"> «Senza controlli l’anonimato è a rischio» Quale rischi comporta maneggiare i dati sanitari? In quale perimetro legale ci si muove? L'abbiamo chiesto all'avvocato Andrea Lisi. Attivo da oltre 15 anni nel campo di diritto dell'informatica, Lisi è direttore in numerosi master e percorsi specialistici di settore ed è presidente di Anorc professioni, associazione iscritta nell'elenco del Mise che rappresenta i professionisti della digitalizzazione e della privacy. Avvocato, quali sono le norme di riferimento che regolano la cessione di dati a terzi da parte delle aziende sanitarie? «La fonte normativa primaria in materia di trattamento dei dati personali è il Gdpr (General data protection regulation), mentre, a livello nazionale, il Codice in materia di protezione dei dati personali del 2003, recentemente riformato in adeguamento al Gdpr, regola all'articolo 110 bis il trattamento ulteriore, da parte di terzi, dei dati personali a fini di ricerca scientifica o statistici, inclusi i dati relativi alla salute». Domanda diretta: a chi può cedere i suoi dati un'azienda sanitaria e per quali finalità? «Se parliamo di dati personali, ossia di informazioni riguardanti una persona fisica identificata o identificabile, l'ambito di circolazione deve essere rigorosamente limitato ai casi in cui la comunicazione sia necessaria per lo svolgimento delle prestazioni sanitarie, o qualora la cessione sia autorizzata da specifiche norme di legge. I dati relativi alla salute trattati da un'azienda sanitaria, come previsto dal Gdpr, non dovrebbero, invece, essere assolutamente ceduti e trattati per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito». Può un'azienda sanitaria cedere dati a una multinazionale che fa ricerche di mercato e non ricerche scientifiche o statistiche? «L'articolo 110 bis del Codice prevede la possibilità di trattamento ulteriore dei dati personali a fini di ricerca scientifica o statistici solo da parte di soggetti terzi che svolgano principalmente tali attività e a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati, previa autorizzazione del Garante. Questa norma, singolarmente approvata prima di intraprendere l'iter di adeguamento del Codice al Gdpr, in prossimità dell'accordo - poi bloccato - tra il governo Renzi e Ibm per l'utilizzo dei dati sanitari dei cittadini italiani in cambio dell'apertura a Milano del centro Watson Health, ha sollevato sin dall'indomani della sua entrata in vigore non pochi dubbi interpretativi». Le aziende sanitarie sono tenute a informare i pazienti? Può il paziente opporsi a una eventuale cessione di dati, ancorché anonimizzati? «L'azienda sanitaria, quale titolare del trattamento, è certamente obbligata a rendere noti ai pazienti, interessati al trattamento, i destinatari o le categorie di destinatari ai quali i dati personali saranno comunicati. Tale obbligo, però, si configura quando la comunicazione abbia a oggetto dati personali, nell'accezione prima ricordata. Qualora, invece, il dato sia reso anonimo, in modo da non essere assolutamente riconducibile a una persona fisica identificata o identificabile, l'obbligo di rendere l'informativa verrebbe meno. Questo significa che il paziente non avrebbe la possibilità di opporsi a una cessione di cui non è al corrente». Le aziende sanitarie giustificano le convenzioni con le multinazionali affermando che i dati sono anonimizzati e in alcun modo riconducibili a persone identificabili. È proprio così? Ci sono dei rischi connessi alla cessione di dati? «Nel caso in cui i risultati statistici siano relativi a una popolazione ristretta e a un ambito territoriale limitato (come, ad esempio, i pazienti di un distretto sanitario) non è possibile escludere la possibilità di risalire all'identità degli interessati, tramite il raffronto e la correlazione con altre fonti di informazione». Senza contare le tecnologie di ultima generazione… «La disponibilità di sistemi di intelligenza artificiale sempre più sofisticati, associati a sistemi automatizzati di elaborazione e profilazione sempre più penetranti, rende questa possibilità realizzabile». È possibilei che i dati acquistati da queste multinazionali vengano rivenduti alle case farmaceutiche? «In mancanza di specifiche garanzie contrattuali imposte alle società che acquisiscono i dati, non si può escludere che gli stessi dati solo teoricamente anonimizzati ed eventualmente rielaborati tramite strumenti di profilazione, siano ceduti alle case farmaceutiche (e potrebbero essere interessati in tal senso tanti altri, come compagnie di assicurazione, datori di lavoro, società finanziarie…)». Cosa si può? «È essenziale svolgere controlli estesi e penetranti nei confronti delle multinazionali, pretendendo che siano rese trasparenti le loro politiche di profilazione, troppo spesso striscianti e ponendo un argine al commercio di dati, anche delicatissimi, come quelli relativi alla salute. Magari, evitando di introdurre norme ambigue e sostanzialmente prive di utilità … se non per altro genere di interessi».
