Tutto quel che c’è stato di sbagliato nei dati raccolti da Medico2000

Il provvedimento del Garante della Privacy ha accesso una luce sulla gestione dei dati sanitari dei pazienti da parte dei software gestionali utilizzati dai medici di medicina generale. In particolare, l’attenzione dell’Autorità è andata – dopo una segnalazione – su Medico2000, utilizzato da oltre 7mila professionisti in Italia. All’interno di quell’ecosistema – molto utile al fine di una migliore gestione degli assistiti – sono stati ritrovate moltissime violazioni che hanno portato a una sanzione pari a 15mila euro. Proviamo a capire, nel dettaglio, tutto quel che c’era di sbagliato.

LEGGI ANCHE > Il software per i medici di base che violava la privacy dei pazienti

Innanzitutto, la questione principale riguarda l’anonimizzazione dei dati sanitari. Come indicato dall’articolo 32 del GDPR, il titolare del trattamento dei dati – per non incorrere in sanzioni – deve provvedere alla pseudonimizzazione e cifratura di quella categoria particolare di dati personali (ex dati sensibili) che, tra le altre cose, possono essere raccolti (non a fini commerciali) solo previa autorizzazione del soggetto e in modo che non si possa risalire alla sua identità. Tutto ciò non avveniva completamente, come sottolineato dall’Autorità.

Medico2000, tutti i problemi di privacy del software

Come spiegato nel dispositivo del Garante Privacy, i medici potevano scegliere di utilizzare una funzione aggiuntiva, chiamata “add-on”, per procedere con l’anonimizzazione dei dati dei loro pazienti all’interno del cosiddetto “Progetto Thin” (con la società Thin partner di di Mediatech informatica, azienda che gestisce Medico2000). Tutto questo, però, non avveniva nella forma corretta:

«La mera sostituzione dell’ID attribuito ai pazienti, con un sistema di crittografia o un codice hash irreversibile non costituisce, in alcuna circostanza, misura idonea rispetto al requisito della rimozione delle singolarità (single out) necessario a qualificare l’operazione di trattamento come un’anonimizzazione». 

Quei dati che, da “contratto”, dovevano essere anonimizzati, non lo erano. Dunque, si configura qui il primo “capo d’accusa” nei confronti dell’azienda. Ma non c’è solamente questo problema. Andando a scandagliare all’interno del provvedimento del Garante, emergono altri dettagli che indicano come ci siano state molteplici violazioni del GDPR. Innanzitutto, non veniva richiesto il consenso per quel che concerne il trattamento dei dati. Trattandosi di una categoria particolare di dati personali, il Regolamento Europeo prevede l’obbligo di consenso informato da parte del cittadino-paziente. E non c’è solo questo. Perché, prima del provvedimento, Medico2000 indicava i singoli medici come “titolari del trattamento”. Si trattava di un falso, come indicato nel provvedimento.

A cosa servivano i dati?

Problemi su problemi, che si aggiungono ad altri problemi. Infatti, oltre alla questione dei “compensi economici” elargiti ai medici di medicina generale che decidevano di utilizzare l’add-on e partecipare al Progetto Thin, appare molto lacunosa la giustificazione che ha portato a quella raccolta di dati. Leggendo sul portale, infatti, si spiega:

«I dati THIN sono utilizzati nella ricerca e nell’analisi per aiutare le principali società farmaceutiche, le Autorità Sanitarie, le organizzazioni accademiche e di ricerca ad accrescere la comprensione del percorso di cura del paziente e perseguire miglioramenti significativi delle cure in numerose aree diagnostiche». 

Si può fare? Solo se arriva l’esplicito consenso da parte del cittadino-paziente. Raccolti così, con l’indicazione errata del reale titolare del trattamento, si tratta di un illecito e di una violazione al GDPR. Dunque, non possono essere utilizzati per nessun fine. Ovviamente, occorre ricordarlo, questo non vale solo per le “ricerche”, ma è fatto assoluto divieto di utilizzo dei dati sanitari dei cittadini per fini di profilazione pubblicitaria. Per questo motivo è fondamentale la questione dell’anonimizzazione completa che non può avvenire esclusivamente con codici hash o crittografia.