Il software per i medici di base che violava la privacy dei pazienti

Un provvedimento che entra a gamba tesa sulla scorretta gestione dei dati sanitari dei cittadini, seppur con una sanzione economica che sembra essere poco attinente (per quantità) alla portata della stessa violazione. Il Garante della Privacy ha multato – intimando l’azienda di modificare le modalità della gestione di questi dati “particolari” e la sua trasparenza – l’azienda che gestisce e sviluppa un software utilizzato da oltre 7mila tra medici di medicina generale e pediatri di libera scelta in Italia. I motivi di questa azione sono molteplici, con il programma – chiamato “Medico2000” – che risulta essere tra i più utilizzati nel nostro Paese per quel che riguarda la parte “gestionale”.

LEGGI ANCHE > Perché gli attacchi informatici prendono di mira le aziende sanitarie pubbliche?

Il provvedimento è datato 1 giugno 2023, ma è stato reso pubblico (come da procedura) solamente nelle ultime ore. In questo lasso di tempo, però, l’Autorità aveva già inviato la sua decisione sia all’azienda (la Thin srl, con il software sviluppato dall’azienda partner Mediatec informatica) e alla FNOMCeO, affinché la Federazione dei medici prendesse provvedimenti. Alla fine, dunque, il Garante Privacy ha rilevato numerose violazioni di condotta nel trattamento dei dati sanitari dei pazienti, optando per una multa pari a 15mila euro.

Medico2000, il software che violava la privacy dei pazienti

La decisione del Garante Privacy si basa su diverse violazioni riscontrate dopo una segnalazione arrivata da un medico di medicina generale. La prima è la mancata “anonimizzazione” dei dati sanitari dei pazienti che, per definizione, rientrano – come indica l’articolo 9 del GDPR – all’interno della categoria dei cosiddetti “dati particolari“, che non sono trattabili se non con il consenso del cittadino e per ridottissime eccezioni. Inoltre, l’articolo 32 del Regolamento Europeo spiega il modo in cui possono essere trattati:

1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Tutto questo, secondo quanto evidenziato dal Garante Privacy, non avveniva all’interno del software gestionale Medico2000. Ma c’è molto di più. Perché questo programma prevedeva l’utilizzo di un cosiddetto “add-on“che, secondo la descrizione che era presente sul sito, serviva proprio per procedere all’anonimizzazione dei dati. Ma non è andata così, come spiega l’Autorità:

«Dall’istruttoria del Garante, è emerso che le funzionalità del c.d. add-on, indicate dalla società, non consentivano l’effettiva anonimizzazione delle informazioni acquisite dai Mmg e che pertanto la società ha effettuato un trattamento illecito di dati personali pseudonimizzati in violazione dei principi di liceità e trasparenza. La mera sostituzione dell’ID attribuito ai pazienti, con un sistema di crittografia o un codice hash irreversibile non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare l’operazione di trattamento come un’anonimizzazione». 

A tutto ciò si aggiungeva un altro paradosso: il software sosteneva che il titolare del trattamento dei dati sanitari dei pazienti non era l’azienda proprietaria e sviluppatrice, né la stessa Thin srl. Si diceva, sbagliando, che quella responsabilità era in testa al singolo medico utilizzatore. Un qualcosa di completamente fuori dalla realtà, come evidenziato dal provvedimento dell’Autorità Garante. Oggi, di fatto, sul sito di Medico2000 compare questo messaggio.

L’invio dei dati tramite l’add-on di Thin (il progetto che serviva proprio a raccogliere questi dati) è stato sospeso proprio dopo la comunicazione da parte del Garante Privacy.

L’add-on e il “pagamento”

Ma c’è anche di più. Perché l’anonimizzazione assente (o lacunosa) e l’errata comunicazione del titolare del trattamento è solo la copertina. C’è un altro aspetto, infatti, molto preoccupante. I medici che utilizzavano Medico2000 e decidevano di partecipare al progetto Thin (quello della raccolta dati) utilizzando l’add-on ricevevano anche un compenso in denaro:

«Essa prevede che la società Thin, per il tramite della società Mediatec, proponga ai MMG di aderire al progetto Thin, ossia di accettare che sul proprio gestionale, Medico 2000, venga aggiunta una funzionalità (add-on) che anonimizza i dati dei pazienti e li trasmettere a Thin per la realizzazione del proprio progetto volto al miglioramento delle cure del paziente e di ricerca scientifica, sia epidemiologica che di farmacovigilanza. In cambio il medico oltre a ricevere non meglio definiti vantaggi nella gestione dei propri pazienti e il titolo di “medico ricercatore”, ottiene altresì un beneficio economico».

Una dinamica che, ovviamente, non poteva far altro che far crescere i sospetti. Ma solamente uno medico ha deciso di segnalare l’accaduto – inviando anche le condizioni contrattuali ricevute – al Garante Privacy che, dunque, è intervenuto fermando questa “macchina” che andava nell’esatta indicazione opposta rispetto a quanto previsto dal GDPR.