Il Garante della privacy ha sanzionato tre Asl friulane, che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19. Ma non si tratta di un caso del tutto isolato.
IL FATTO
Le tre Asl friulane multate (l’Azienda Universitaria Friuli Occidentale, l’Azienda Universitaria Friuli Centrale e l’Azienda Universitaria Giuliano Isontina) avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei.
L’ISTRUTTORIA DEL GARANTE
Nel corso dell’istruttoria del Garante per la privacy, che si era mosso dopo la segnalazione di un medico, è infatti emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal Regolamento Ue in materia di protezione dati.
PERCHÉ LE ASL HANNO AGITO MALE
L’Autorità ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie.
LA SANZIONE
Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.
ANCHE LA REGIONE VENETO FINISCE SOTTO LA LENTE D’INGRANDIMENTO
Ma una situazione simile si sta verificando anche con la Regione Veneto, sulla quale la scorsa settimana il Garante ha avviato un’istruttoria per verificare la conformità alla normativa privacy di una delibera, in base alla quale non sarebbero più i medici di medicina generale a scegliere la classe di priorità della prestazione richiesta per il paziente, ma un sistema basato sull’intelligenza artificiale.
In sostanza, spiega il Garante, sarebbe un algoritmo a stabilire i tempi di attesa per le prestazioni prescritte.
Entro 20 giorni la Regione Veneto dovrà comunicare all’Autorità ogni elemento utile alla valutazione del caso, precisando in particolare se l’attribuzione della classe di priorità delle prestazioni sanitarie (urgente, breve, differita, programmata) sia realmente effettuata in forma automatizzata, attraverso algoritmi. L’indicazione della classe di priorità non sarebbe, peraltro, modificabile dal medico.
La Regione dovrà indicare la norma giuridica alla base del trattamento, la tipologia di algoritmo utilizzato, i database e i tipi di informazioni e documenti clinici che verrebbero trattati. Dovrà inoltre specificare le modalità utilizzate per informare gli assistiti dell’iniziativa, fornire elementi sulla valutazione di impatto effettuata e indicare il numero di pazienti coinvolti dal trattamento.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
