Data economy: l’emergenza sanitaria apre il “mercato” dei dati personali

Per fini di sicurezza pubblica le autorità sanitarie potrebbero “trattare” i dati dei cittadini. E dopo? Un assaggio nel 2016 con l’accordo Ibm-Governo Renzi, saltato

Nonostante i suoi terrificanti costi umani e sociali, o forse proprio per questi, per l’industria farmaceutica l’epidemia di coronavirus Covid-19 è una manna dal cielo. Non solo perché darà un’ulteriore spinta al mercato dei vaccini, che nel 2018 fatturava 37,4 miliardi. Lo sviluppo del settore, infatti, non è più solo una questione di ricerca di prodotto e/o di prezzo: il confronto tra multinazionali farmaceutiche e Stati si sposta sempre più sul fronte della data economy. Proprio l’emergenza sanitaria globale consente alle multinazionali di mettere le mani sui dati di centinaia di milioni di persone.

Se i dati sul Covid-19 diventando merce preziosa… in ambito sanitario e finanziario

Lo scontro tra interessi pubblici e opportunità di business ora si sposta dall’ambito epidemiologico, sanitario e farmaceutico a quello della data economy. È quanto sostiene Lorenzo Zaccagnini, esperto di blockchain e di intelligenza artificiale (AI), nonché cofondatore della società Devoleum. «I dati relativi al coronavirus – spiega Zaccagnini – diventeranno loro stessi uno spartiacque tra chi potrà permettersi una valutazione dei rischi e chi no, creando un enorme vantaggio per le aziende “più vicine” alle istituzioni alle quali sarà concessa la possibilità di generare modelli di rischio più attinenti alla realtà».

Questo genere di modelli, sviluppati grazie all’intelligenza artificiale (AI) ha una serie di applicazioni rilevantissime in alcuni ambiti economici e finanziari: in ambito farmaceutico, perché può decidere sulla convenienza o meno nella produzione dei vaccini; in ambito assicurativo, per la realizzazione di modelli per valutare i costi dell’epidemia nelle polizze sanitarie; in ambito previdenziale, per valutare l’impatto dell’epidemia sui sistemi di previdenza obbligatoria, ad esempio nei bilanci tecnico attuariali delle casse di previdenza; in ambito pubblico, per calcolare il costo delle misure di prevenzione e di profilassi per le casse dello Stato, delle regioni e delle aziende sanitarie locali.

L’esperto ricorda che, tempo fa, la stampa si occupò di un accordo pubblico-privato per la gestione dei dati sanitari italiani. «Proprio in virtù di accordi di questo genere – conclude Zaccagnini – potrebbe esserci una reticenza a fornire dati, motivata, non solo con la necessità di non alimentare il panico, ma con ragioni legali legate alla necessità di non minare l’esclusività di eventuali intese. Tutti questi fattori, sommati, potrebbero portare a realizzare in Italia squilibri economici pari o peggiori a quelli causati dalla paura scatenata dai dati reali sul contagio».

L’accordo tra il governo Renzi e Ibm per cedere i dati sanitari degli italiani

La questione dei dati sanitari e del loro utilizzo nel mondo del business ha avuto un importante precedente in Italia che risale a due anni prima dell’epidemia di Covid-19. Il 12 dicembre 2017 entrò in vigore la Legge europea 2017 che aprì la possibilità al Governo Italiano di cedere i dati sanitari dei cittadini alla Ibm, con la quale il Governo Renzi a marzo 2016 aveva stipulato un accordo in cambio dell’apertura a Milano del suo centro Watson Health nell’ambito del progetto Human Technopole. Secondo una interrogazione parlamentare dell’epoca il governo, in cambio degli investimenti promessi dall’Ibm, si era impegnato a cedere tutti i dati sanitari relativi dei cittadini lombardi, «ivi incluso l’utilizzo secondario dei predetti dati sanitari per finalità ulteriori rispetto ai progetti». Inoltre, sempre secondo le cronache, Ibm avrebbe manifestato il proprio interesse «a disporre dei dati sanitari di tutti i cittadini italiani» senza specifico consenso individuale.

Il ministro della Salute dell’epoca, Beatrice Lorenzin, durante un question time alla Camera rispose precisando che «il memorandum di intesa richiamato non contiene alcun riferimento a dati sanitari, tanto meno alla loro cessione, pertanto le informazioni di stampa riportate dagli interroganti non risultano fondate» e che l’accordo tra Ibm e governo riguardava esclusivamente gli investimenti per 150 milioni per la costruzione del polo di ricerca Human Technopole. La ministra Lorenzin precisò che «nel caso dovrebbero comunque essere specificamente individuate le finalità del trattamento, la tipologia e la natura dei dati che si intendono trattare, oltre alle modalità e alle misure di sicurezza che sarebbe necessario adottare. Tali attività si svolgerebbero naturalmente nel pieno rispetto delle disposizioni del codice in materia di protezione dei dati personali e soprattutto del nuovo Regolamento europeo numero 2016/679 sulla protezione dei dati personali» (il famoso Regolamento generale sulla protezione dei dati o Gdpr varato dalla Ue), passando al vaglio dell’Authority per la protezione dei dati personali (Autorità per la privacy), «che potrà prescrivere ogni misura ritenuta necessaria al fine di assicurare un’effettiva tutela dei dati e garantire il rispetto dei principi di liceità dei loro trattamenti».

La posizione di Ibm e le questioni legali sulla tutela dei dati sanitari personali

Secondo quanto riportato all’epoca da StartMag, Ibm diffidò Gianni Barbacetto, giornalista del Fatto Quotidiano, dal pubblicare i documenti riservati alla base della sua inchiesta sullo Human Technopole. La multinazionale poi rispose dalle colonne del Corriere della Sera: «Alessandro Curioni, il capo della ricerca in Europa ha precisato che la sua società non è interessata ai dati anagrafici, proprio per evitare di essere accusata di qualcosa o che, ipoteticamente, un singolo possa fare dei danni svelandoli». A Repubblica, Ibm all’epoca aveva anche assicurato che i dati «sarebbero trattati in base a regole precise e chiare, coinvolgendo tutti quelli che hanno voce in capitolo». All’epoca (2018) Regione Lombardia e Governo assicurarono comunque che il progetto Watson-Ibm non sarebbe partito senza la condivisione dell’Autorità per la protezione dei dati personali. La partecipazione di Ibm al progetto non risulta poi essere mai stata portata a termine.

Ma l’interpretazione della legge europea non era univoca. Su Nova, l’inserto di tecnologia del Sole 24 Ore, l’avvocato Maria Luisa Manis elencò alcuni punti critici tra i quali l’interpretazione della dicitura “a scopo di ricerca scientifica”, come quella del concetto di “anonimizzazione” dei dati alla luce del Gdpr, il regolamento della Ue sulla protezione dei dati personali: chi avrebbe dovuto rendere anonimi i dati, la Regione Lombardia o Ibm? E come? E che cosa sarebbe successo se, incrociando vari database, si fosse riusciti a collegare il dato “anonimo” alla singola persona a cui faceva riferimento, visto che la cosa è tecnicamente possibile?

Privacy sanitaria: cosa dice il Gdpr e cosa il Garante

Dopo queste segnalazioni e dopo alcuni quesiti sugli adempimenti dei titolari e dei responsabili del trattamento dei dati in ambito sanitario, sollevate alla luce dell’attuazione del Gdpr, nei mesi scorsi il Garante per la protezione dei dati personali ha risposto nel merito delle questioni sulla privacy sanitaria. Il 7 marzo 2019 l’Autorità per la privacy ha emesso il provvedimento numero 55 contenente “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”. L’Autorità ha spiegato che l’articolo 9 del Gdpr, al comma 2, regola il trattamento dei dati sulla salute, che sono tra le “categorie particolari di dati personali” per i quali in linea di massima è vietato il trattamento, ma con una serie di deroghe.

Il trattamento ad esempio è ammesso quando “è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri”  o quando “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri”. Una situazione che pare ricalcare esattamente quella attuale causata dall’epidemia di coronavirus Covid-19.

E dopo l’epidemia, che fine faranno i nostri dati sanitari?

In sostanza, per garantire finalità di sicurezza pubblica le autorità sanitarie potrebbero utilizzare e “trattare” i dati personali dei cittadini. L’epidemia di coronavirus è un esempio perfetto di situazione di emergenza di questo tipo. La difesa della salute passa dunque su un piano più alto, nel quale i diritti del singolo vengono sacrificati in uno scambio per raggiungere obiettivi comuni più importanti per tutti. Ma chi controllerà a livello internazionale che questi database di informazioni personali “trattate” non siano oggetto di mercato con le multinazionali dei vaccini e della farmaceutica? Chi verificherà che i dati saranno gestiti, trattati e utilizzati solo per le finalità di tutela della salute pubblica per le quali sono stati concessi? Chi andrà a vedere se, al termine della loro funzione, questi dati saranno effettivamente distrutti? D’altronde sarà impossibile, anche nella migliore delle ipotesi, impedire che i modelli matematici e le applicazioni di intelligenza artificiale realizzati attraverso questi database non vengano poi riutilizzati in altre circostanze e in altri settori.

La questione si interseca con le relazioni internazionali tra Ue e Stati Uniti che durante la presidenza Trump si sono estremamente riscaldate proprio sul fronte della data economy e delle sue ricadute fiscali. Un fronte sul quale le tensioni sono enormi, come lo è il valore della posta in gioco, non solo per l’industria farmaceutica, ma anche per quella finanziaria.

Al di là dei suoi drammatici costi umani e sociali, l’epidemia di coronavirus Covid-19 rappresenta dunque un enorme occasione di businesse di sviluppo anche al di fuori dell’opaco settore dei vaccini. Lo vedremo nella quarta e ultima puntata di questa inchiesta.