16.8.17

ITALIA: ESTORSIONE DEI DATI SANITARI PERSONALI

di Eugenio Sinesio*

Porto all'attenzione dell'opinione pubblica, con specifico riguardo all'attività vaccinale, la delicata problematica della raccolta dei dati sanitari in modalità digitale, ed il suo uso a (presunti) fini di studio e ricerca.

Il 4 agosto scorso il Sole 24 Ore-Sanità ha anticipato alcune caratteristiche della nuova disciplina europea sulla privacy da attuarsi entro il 25 maggio 2018 (Regolamento Ue n. 679/2016).


L'attenzione si è posata sul titolo: "Ricerca scientifica, previste agevolazioni e norme più snelle" e nel testo si commentava:
 
"Le limitazioni ai diritti degli interessati. L’intento del legislatore europeo di favorire la ricerca scientifica risulta evidente anche alla luce delle previsioni che riconoscono agli Stati membri la possibilità di prevedere deroghe ai principi generali previsti dal Regolamento in materia di diritti degli interessati (ciò per quanto riguarda in particolare il diritto di accesso, di rettifica, limitazione ed opposizione al trattamento) nella misura in cui tali diritti rischiano di rendere impossibile o pregiudicare gravemente il conseguimento delle finalità specifiche della ricerca. La ratio è quella di agevolare il più possibile l’attività di ricerca ed evitare il rischio che la stessa possa essere rallentata o compromessa da eventuali richieste di rettifica/limitazione formulate dagli interessati".

Facciamo un passo indietro. La problematica su una norma italiana relativa alla digitalizzazione di tutti i nostri dati sensibili ci riporta  al 2008, quando sul sito della Camera si poteva leggere:

"Il fascicolo sanitario elettronico (FSE). Presupposti per l'istituzione.

Al fine di supportare la realizzazione di una cornice normativa unitaria, nel secondo semestre del 2008 è stato istituito dal Ministero della salute un Tavolo interistituzionale a cui hanno partecipato rappresentanti del Ministero per la Pubblica Amministrazione e l'Innovazione, oltre ai referenti regionali e ad un rappresentante dell'Autorità Garante per la protezione dei dati personali. Il Tavolo interistituzionale per il fascicolo sanitario elettronico ha successivamente previsto l’adozione di un regolamento attuativo per la definizione dei dati contenuti nel Fascicolo, per le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali, nonché per le modalità ed i diversi livelli di accesso."



Il 16 luglio 2009 il Garante per la privacy ha fornito le prime linee-guida per il FSE, delineandone le principali finalità e caratteristiche.


Il Ministero della salute l'11 novembre 2010 dettagliava le linee-guida del FSE. Non mancava di informare alla pag. 7:

" 2.1  Definizione
Il Fascicolo Sanitario Elettronico è l’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito.
Il  Fascicolo  Sanitario  Elettronico,  che  ha  un  orizzonte  temporale  che  copre  l’intera  vita  del  paziente,  è  alimentato  in  maniera continuativa  dai  soggetti  che  prendono  in  cura  l’assistito nell’ambito del Servizio sanitario nazionale e dei servizi socio-sanitari regionali.
2.2  Finalità
Il Fascicolo  Sanitario Elettronico è  costituito, previo consenso dell’assistito, dalle Regioni  e Province Autonome per le finalità di prevenzione, diagnosi, cura e riabilitazione. (...)".

Per la delicatezza della materia si precisava alla pagina 19:
"Il consenso alla creazione del proprio Fascicolo Sanitario Elettronico, da parte dell’assistito, deve essere esplicito, cioè manifestato inequivocabilmente, quindi non intuito o desunto da un comportamento, non soddisfacendo il criterio del carattere "esplicito" la soluzione del silenzio-assenso (opt-out). In caso di diniego non deve esserci per l’assistito alcuna conseguenza sulla sua possibilità di usufruire della prestazione medica richiesta e/o necessaria".
 
Il Ministero anche prospettava a pagina 28:
" ... il  FSE  oltre  a  perseguire  finalità  di  prevenzione,  diagnosi,  cura  e riabilitazione, potrebbe favorire anche la costruzione di sistemi  di monitoraggio a supporto della programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, nonché supportare studi e ricerche scientifiche in campo medico, biomedico ed epidemiologico".

La peculiarità dei dati contenuti nel FSE faceva precisare a pagina 5:

"... anche se questo documento non ha lo scopo di informare i cittadini e il personale sanitario e socio-sanitario  che  sarà  coinvolto  nell’attività  di  Fascicolo,  si  ritiene  necessario  richiamare l’attenzione di tutti gli attori sulle legittime preoccupazioni del cittadino rispetto alla protezione dei  propri  dati  sanitari  nello  scenario  del  FSE:  i  tentativi  diimplementazione,  in  Italia  e all’estero, hanno dimostrato che una corretta e trasparente comunicazione alla popolazione sui  benefici  derivanti  dall’adozione  di  un  FSE,  nonché  sulle  garanzie  per  la  tutela  dei  dati, rappresenta un elemento imprescindibile per incrementare la fiducia dei cittadini nel sistema e, di conseguenza, per favorire un elevato numero di adesioni".

Non fa una piega: bisogna comunicare i benefici e la sicurezza dei propri dati in internet come strumento per far aumentare le adesioni !
Questa raccomandazione ci ricorda qualcosa ?


Ma era il 2010 ed ancora non erano emersi tutti gli scandalosi pericoli della "rete", forse almeno al grande pubblico.

Nel luglio 2015 scoppiò il “pasticciaccio brutto”  di Hacking Team: il maggior fornitore di programmi-spia che si fece “prelevare” l’intero archivio.  E non era mancato un esempio l'anno precedente.

Il “Fatto  Quotidiano” del  24  gennaio  2014 riportò  una  inchiesta giornalistica in corso in Inghilterra su gravi sospetti:
The Guardian: “Il servizio sanitario venderà i dati dei pazienti ai privati”. Secondo il quotidiano le informazioni personali potrebbero finire ad assicurazioni e case farmaceutiche. Ma dal Nhs smentiscono: "Falso. Servirà solo a migliorare la ricerca scientifica".


Gravemente falsa  risulterà  invece proprio quella  smentita del Sistema sanitario inglese:  il  successivo 24 febbraio verrà ammesso che milioni di dati sanitari ('care.data') erano stati ceduti a Compagnie assicurative.






Nella legge era prevista l'emanazione di un decreto attuativo che
fu pubblicato tre anni dopo: novembre 2015 (G.U. n. 263 del 11-11-2015). Conteneva però una ben precisa omissione rispetto alla legge.
  
E' di tutta evidenza che manca una frase-chiave di grande importanza: non c'è più scritto che l'assistito può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo medesimo. Ma l'inserimento di un dato in internet è "per sempre", il diritto all'oblio è quella mera illusione che il Regolamento propone come  "oscuramento" (sic!) di un dato che si desidera non sia più visibile. E' del tutto ovvio che verrà normalmente richiamato quel Regolamento (con l'omissione) in tutte le fasi di un processo in cui non si va certo a cercare la fonte normativa !

Prima ancora del Regolamento attuativo molte attenzioni erano state rivolte alla grossa novità che migliorava la sanità nazionale: un lungo elenco di articoli su tutte le testate, cartacee ed on-line. Enfatizzare per le adesioni.

Qualcosa preoccupava nel frattempo il Ministero: la difficoltà nel riuscire ad ottenere il massimo quantitativo di dati possibile attraverso l'interconnessione tra e soprattutto con i medici convenzionati, visto che con le strutture ospedaliere ed il flusso dei dati delle prescrizioni farmaceutiche non c'era alcun pericolo sulla "fornitura", come vedremo ben chiaro appresso. Pertanto si leggeva sulla rivista on-line di settore:



Il Ministero viene subito rassicurato dal sindacato medico FIMMG sul fatto che, pur avendo i medici di famiglia diversi tipi di programmi per la gestione degli ambulatori, gli stessi potranno garantire quell'auspicata interoperabilità per far ben confluire i dati (sensibili) di salute ed abitudini.


Passo ora all'altro aspetto di questa nota: la necessità dei big-data nella ricerca e sperimentazione farmaceutica, ora d'attualità (anche) con i vaccini.

Sul Sole24Ore-Sanità del 17 luglio scorso il titolo era eloquente:

"DL vaccini, il Veneto fa ricorso alla Consulta=
".

Parole di Luca Zaia, governatore del Veneto.



Ricordate la temibile "Pandemia" del 2009 che tanto allarmò il mondo intero, facendo vendere vagonate di antivirali e di vaccini? Il contratto di fornitura vaccinale della Novartis prevedeva anche




(trascrivo la parte finale del comma 4.9) ... dei limitti imposti dalla normativa sulla privacy (D.LGS. 196/2003) e di qualunque altro requisito regolatorio.

Vuol dire che il vaccino non era stato ancora sottoposto alla valutazione post-marketing ed occorreva farlo anche trasmettendo tutte le informazioni raccolte da AIFA, compreso i dati clinici delle persone con effetti avversi.

E' un fatto assolutamente necessario per le doverose valutazioni dei casi occorsi e della possibile presenza di fattori che possano essere di confondimento nella corretta attribuzione di un rapporto causa/effetto.

La normativa sulla privacy, recepita anche nel Fascicolo sanitario elettronico consente questo flusso di dati, purché siano preventivamente anonimizzati.
Ma vediamo cosa può accadere .
La valutazione delle vaccinazioni per quella "pandemia" è stata mirata anche alla ricerca di effetti sulla salute del neonato, se la madre era stata vaccinata durante la gravidanza- e più studi sono stati condotti al riguardo.
Uno pubblicato il 01-07-2014 dal "Royal College of Surgeon on Ireland":

2009 A/H1N1 influenza vaccination in pregnancy:uptake and pregnancy outcomes - a historical cohort study.


La conclusione è che non erano derivati effetti avversi per la gravidanza. La distribuzione dei gruppi in studio per condizione vaccinale era stata così predisposta:



Si nota un sostaziale equilibrio, statisticamente valido per significatività, tra donne vaccinate e non vaccinate.
Riporto i parametri presi in considerazione per evitare possibili elementi di confondimento dovuto a condizioni esterne alla vaccinazione (es. il fumo).

Ma, oltre al fumo in gravidanza, mi sembrano assunti in valutazione condizioni quanto meno "esuberanti" per lo scopo dello studio sugli esiti: non è certo chiaro quanto possa aver influito l'essere di nazionalità irlandese, o l'essere coniugate, o l'aver programmato la gravidanza ...
Questo emerge nello studio e questi dati sono stati raccolti e conservati.

Altra singolarità emerge dallo studio, effettuato per lo stesso scopo, pubblicato dall' Istituto Superiore di Sanità il 16 maggio 2014.

"Vaccino Antinfluenzale Pandemico (A-H1N1pdm09) - Valutazione degli esiti nelle donne gravide e nei neonati"


Uno studio decisamente ed irritualmente "sbilanciato" nella selezione dei gruppi: delle 100.332 donne studiate il numero delle non-vaccinate era di  98.329 e quello delle vaccinate era 2.003, quindi solo il 2% della "coorte" (dati riportati alle pagg. pag. 9 e 10). Significatività statistica di pregio nullo.

Anche in questa analisi retrospettiva non sono emersi disturbi ascrivibili alla vaccinazione. Anche qui si è usata la procedura del "record-linkage". Per record-linkage si intende la reintegrazione di informazioni provenienti da fonti di dati diverse. Agli epidemiologi pervengono, su richiesta specifica di raccolta di quei dati ricollegabili, le informazioni in forma anonimizzata. Ma chi li trasmette ha dovuto avere accesso ai dati nominativi di ogni singola persona cui si riferiscono i singoli dati ed episodi ritenuti di interesse. Evidenzio quale tipologia di dati è stata analizzata presso l'ISS. A pagina 4  è così sintetizzata:


 
Dato che la gravidanza era del 2009, le banche dati cui attingere permettevano il record-linkage con dati del 2008.
Tra i dati  richiesti una condizione appare decisamente eccedente relativamente alla possibilità di essere considerata quale elemento di confondimento con l’esito in esame: l'aver praticato una interruzione volontaria di gravidanza. Ed il Lazio era stato in grado di fornire anche quel dato (pagg. 3, 4 e 18). Ma la Legge 22 maggio 1978, numero 194 “Norme per la tutela sociale della maternità e sull’interruzione volontaria della gravidanza” prevede all’articolo 11:
 
“L’ente ospedaliero, la casa di cura o il poliambulatorio nei quali l’intervento è stato effettuato sono tenuti ad inviare al medico provinciale competente per territorio una dichiarazione con la quale il medico che lo ha eseguito dà notizia dell’intervento stesso e della documentazione sulla base della quale è avvenuto, senza fare menzione dell’identità della donna.

Tanto basta per illustrare la grande possibilità di accumulare dati, anche super-sensibili. Ma sembra non gli bastino mai: occorre la pervasività totale. Purtroppo dobbiamo assistere, di contro, a sforzi maggiori in ambiti non certo proibiti dalla legge sulla privacy: le indagini serve farle "porta-a-porta". Porto come esempio un'indagine di polizia giudiziaria del 2015 per un omicidio: occorreva poter "profilare" alcune caratteristiche di una persona.
  



E torno all'inizio di queste note, riproponendone lo spunto.

"Le limitazioni ai diritti degli interessati. L’intento del legislatore europeo di favorire la ricerca scientifica risulta evidente anche alla luce delle previsioni che riconoscono agli Stati membri la possibilità di prevedere deroghe ai principi generali previsti dal Regolamento in materia di diritti degli interessati (ciò per quanto riguarda in particolare il diritto di accesso, di rettifica, limitazione ed opposizione al trattamento) nella misura in cui tali diritti
rischiano di rendere impossibile o pregiudicare gravemente il
conseguimento delle finalità specifiche della ricerca. La ratio è quella di agevolare il più possibile l’attività di ricerca ed evitare il rischio che la stessa possa essere rallentata o compromessa da eventuali richieste di rettifica/limitazione formulate dagli interessati". Il consenso alla conoscibilità ed al trattamento dei propri dati deve essere: informato, consapevole, libero, specifico, attuale, manifesto.Vogliono toglierci questo diritto! Infatti abbiamo saputo che si vogliono fornire ad un progetto estero-diretto i dati sanitari dei cittadini lombardi, con mire all'intera Italia. Non è dato, ad oggi, ancora sapere il pensiero del Garante. Ma è un fatto correlato ad un progetto farmaco-vaccinale, addirittura obbligatorio, al quale servono dati di tipo "totale" su tutti noi.

E' quello che il governatore del Veneto ha definito:
"Grottesca sperimentazione di massa".

 Attenzione quindi ad aderire (anche e non solo) al Fascicolo Sanitario Elettronico. Certo che, anche prima dello stesso concetto di F.S.E., si è dimostrato come i nostri dati personali vengono resi noti a nostra insaputa, ma che si renda la vita facile agli "hacker" di turno mi pare anche grottesco.

Apprezzo ed uso Internet, come le nuove scoperte e le innovazioni scientifiche, ma ricordo che riuscire a scindere l'atomo fu un traguardo  foriero anche di altro.

Tocco (in volata) ancora l'argomento privacy e ricordo come il  Garante della Privacy  più di dieci anni fa, nel 2005, aveva dovuto persino fornire indicazioni e prescrizioni per tutelare i cittadini dal rischio per la riservatezza dei propri dati  correlabile alla raccolta dei rifiuti domestici “porta a porta”: infatti anche quello che confluisce nei nostri "scarti" può essere un dato talvolta sensibile.

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1149822

Vogliamo tornare forse indietro ... per far avanzare altri ?
*medico

Nessun commento:

Posta un commento

Gradita firma degli utenti.