La privacy dopo il coronavirus, ecco le priorità secondo il Garante europeo - Cyber Security 360

L'analisi

La privacy dopo il coronavirus, ecco le priorità secondo il Garante europeo

Nel corso di un convegno il 25 gennaio, l’EDPS ha approfondito gli scenari futuri che si prefigurano alla luce dell’esperienza della pandemia: la riflessione ha permesso di delineare quali saranno i fronti prioritari da perseguire in tema digitalizzazione e data protection

01 Feb 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

L’Europa si interroga sugli scenari futuri della data protection, alla luce della spinta alla digitalizzazione portata dalla pandemia. Infrastrutture tecnologiche durature, il superamento del digital divide e la creazione di uno European Health Data Space sono alcuni dei punti prioritari emersi dall’analisi dello scenario da parte dell’EDPS, il garante privacy UE.

In un convegno tenutosi il 25 gennaio, organizzato proprio dall’autorità, sono stati forniti numerosi spunti per l’utilizzo dei dati nell’ottica del bene comune, garantendo così un futuro digitale orientato al benessere generale. L’iniziativa dell’autorità europea assume particolare rilievo in questo periodo di emergenza sanitaria, in cui abbiamo visto molti soggetti pubblici e privati che si sono trovati impreparati e in difficoltà nell’individuare metodi e strumenti per garantire la privacy dei cittadini in un momento in cui, improvvisamente e imprevedibilmente, enti e istituzioni si sono scoperte avide di dati sanitari.

La prospettiva della digitalizzazione nel new normal

Le domande che oggi dobbiamo porci riguardano quanta parte delle innovazioni dovute all’emergenza è qui per restare (magari in forma differente) in quello che diventerà il new normal post Covid, la nostra “nuova normalità” dopo questa crisi sanitaria del tutto eccezionale.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza

E dobbiamo essere pronti ad accogliere queste innovazioni in un’ottica più intransigente e più garantista, di modo che quelle infrastrutture tecnologiche che abbiamo costruito su fragili basi per sopravvivere alla fase emergenziale si trasformino in duraturi assetti informatici su cui poter fare affidamento in futuro. E si tratta di un problema non solo normativo, ma anche sociale e, in ultimo, economico di assetto dei prezzi. Se oggi appare ragionevole pagare un servizio la stessa cifra se effettuato via video rispetto che di persona (anche perché tra “assestamenti” allo strumento e “prove” di contatto di fatto il tempo che si perde è il medesimo), un domani ci troveremo inevitabilmente a confrontarci con un’offerta lavorativa più efficiente se svolta da remoto, con conseguenti risparmi in termini di tempi e trasferte che potrebbero spingere qualcuno ad abbassare il prezzo e qualcun altro ad attendersi un prezzo inferiore per il servizio remotizzato.

Altro aspetto che dobbiamo assolutamente tenere in considerazione è quello del processo di normalizzazione, che renderà (ci si augura presto) via via superate le varie norme emergenziali. Particolarmente delicata sarà la fase di destrutturazione della normativa emergenziale, selezionando le opportunità da conservare e abbandonando tempestivamente le misure di emergenza strettamente temporanee ovvero quelle che più hanno sacrificato i diritti dei cittadini nell’ottica del bene superiore della salute.

Tecnologia in aiuto alla sanità

L’EDPS si pone anche un’altra domanda, ovvero come può essere efficacemente (e lecitamente) sfruttata l’enorme mole di dati raccolta durante questa pandemia per consentirci di essere meglio preparati per la prossima pandemia.

L’Unione Europea si è trovata in forte difficoltà nella gestione unitaria della pandemia anche a causa della assoluta parcellizzazione del dato sanitario, che non veniva (e non viene) condiviso a livello comunitario in tempi rapidi, con gravi problemi di interoperabilità informatica, che si sommano ai (questi invece fisiologici) problemi linguistici. Anche le strade tecnologiche di contact tracing si sono scontrate con il peculiare assetto dell’Unione, affidando i dati ricavati alle singole autorità nazionali e lasciando in secondo piano la successiva condivisione dei dati a livello comunitario.

Questi elementi hanno contribuito a far affrontare all’UE la sfida del COVID in maniera disorganica e parcellizzata, impedendo più del necessario i movimenti tra stati membri (oppure, peggio, consentendoli ma senza adeguato contact tracing) e impedendo di individuare dai dati condivisi buone prassi e soluzioni.

L’European Health Data Space

Viste queste problematiche, Ioana Maria Gligor, capo unità Reti di riferimento europee e salute digitale, ha ribadito che l’intenzione delle istituzioni comunitarie è quella di creare un European Health Data Space (progetto inserito già ante COVID, nel 2019, fra le priorità della Commissione).

Il progetto si propone da un lato di aiutare i cittadini (ad esempio nel caso di trasferimento in un altro stato membro UE deve essere possibile trasferire in sicurezza e in formato interoperabile a livello comunitario il fascicolo sanitario) e dall’altro di sfruttare i dati aggregati ottenuti da questi indici sanitari per aiutare i ricercatori ed il legislatore comunitario. Purtroppo, i tempi della legiferazione comunitaria non sono rapidissimi e la normativa sul punto non sarà sottoposta al legislatore europeo prima della fine dell’anno. Tra i progetti dell’Unione spiccano poi iniziative per lo sviluppo della telemedicina e di utilizzo di intelligenze artificiali al servizio del settore sanitario.

L’impiego delle intelligenze artificiali

L’uso delle intelligenze artificiali per contenere la pandemia non ha infatti raggiunto i livelli sperati in Europa e da più parti ci si è domandati il perché queste tecnologie ormai ad un livello di sviluppo notevolissimo non siano state d’aiuto in questa fase emergenziale. All’inizio della pandemia molti guardavano proprio al machine learning per sviluppare modelli predittivi o strumenti di early alert per individuare per tempo i nuovi focolai, auspicio che però si è rivelato troppo ottimistico.

La ragione viene individuata nell’assenza di una strategia istituzionale sul punto nonché, ancora una volta, dal fatto che questi software, che si nutrono di grandi masse di dati, faticano a funzionare dove manca la cooperazione comunitaria. Far studiare una diagnosi ad un algoritmo può dare risultati se la sanità (almeno) di tutta l’Unione fornisce dati, mentre oggi fatichiamo a mettere a sistema i dati di diverse unità amministrative infra-nazionali. In Italia il problema, infatti, è aggravato dalla gestione sanitaria a livello regionale, che se per certi aspetti rappresenta un vantaggio, dal punto di vista delle infrastrutture tecnologiche è spesso fonte di duplicazioni (anzi di moltiplicazioni per venti) dei costi e di anacronistici problemi di interoperabilità.

Il problema del Digital Divide

Queste innovazioni devono poi transitare per politiche che affrontino il problema del Digital Divide: se i nostri smartphone diventano un’arma contro la diffusione del virus non è ammissibile che una importante fetta della popolazione sia esclusa da questa possibilità per difficoltà economiche o formative. L’utilizzo di strumenti informatici ancora oggi presenta difficoltà non superabili per molti utenti, che vedono più i rischi (purtroppo reali) che i vantaggi nell’utilizzo di queste tecnologie, specie per un soggetto alle prime armi.

Affrontare il problema del Digital Divide impone quindi da un lato di formare anche gli utenti meno avvezzi su come si utilizza in sicurezza uno strumento tecnologico, ma anche di pensare e sviluppare strumenti che consentano un utilizzo sicuro dell’hardware (anche solo finché non si decide di spingersi oltre) ovvero software orientati che consentano un primo approccio all’utente al sicuro da rischi (es. che non consentano di default di ricevere comunicazioni da soggetti non inseriti in rubrica per evitare di ricevere messaggi che veicolano virus o di scaricare app non sicure, etc. etc.).

I dati sanitari

Nel corso del convegno organizzato dal Garante si è poi affrontato il tema della qualità dei dati raccolti nel settore sanitario. Per avere dati affidabili, infatti, la ricerca deve essere fondata su sperimentazioni controllate randomizzate, ovvero sperimentazioni in cui la selezione casuale dei soggetti consente di scongiurare eventuali pregiudizi (anche inconsci) nei ricercatori. Oltre a questo, è evidente la necessità di un quadro normativo chiaro circa l’utilizzo di questi dati senza violare la normativa europea sulla protezione dei dati.

Dopo l’entrata in vigore del GDPR, infatti, i garanti nazionali ed il gruppo europeo che li riunisce hanno lavorato per calare nel contesto il regolamento (atto normativo necessariamente generico e di principio essendo chiamato a normare in un unico corpus di norme situazioni diversissime fra loro) fornendo pareri esplicativi e linee guida. Purtroppo, in questa attività che necessariamente procedeva per gradi, ci si è trovati con numerose zone grigie nel settore sanitario quando è scoppiata l’emergenza COVID, situazione che ha messo in difficoltà numerosi ricercatori e istituzioni.

Per affrontare con più efficienza eventuali emergenze sanitarie che in futuro dovessero presentarsi è necessario delineare un quadro circa l’utilizzo e il riutilizzo di dati sanitari per finalità di ricerca. In particolare, nel corso del convegno, Peter Arlett, Responsabile della Task Force sull’analisi dei dati e sui metodi dell’European Medicines Agency, ha evidenziato alcuni nodi da sciogliere con riguardo al rapporto fra ricerca in ambito medico e GDPR, tra cui:

  • la necessità di fornire un’interpretazione chiara e armonizzata a livello comunitario dei concetti di ricerca scientifica e di trattamento per “finalità ulteriori” secondo il disposto dell’art. 6 par. 4 GDPR di dati sanitari e medici per scopi di sanità pubblica;
  • la necessità di individuare una strategia di pseudonimizzazione o anonimizzazione che garantisca la permanenza dei dati sanitari con granularità sufficiente perché questi siano utili alla ricerca scientifica;
  • la necessità di stabilire meccanismi di condivisione dei dati sanitari per facilitare l’assistenza sanitaria transfrontaliera e la ricerca scientifica a livello comunitario.

Questi chiarimenti sono necessari anche in questa delicata fase di diffusione del vaccino (o meglio delle sue diverse versioni) per poterne validamente e tempestivamente monitorare l’efficacia.

Conclusione

Alcuni degli argomenti affrontati dal Garante Europeo sono stati oggetto di un panel al CES 2021, che si è tenuto in modalità digitale dall’11 al 14 gennaio, intitolato “Digital Health in 2020: Rules of Contagion”. Nel corso del panel numerose aziende hanno presentato soluzioni innovative per la gestione del rischio pandemico, ma c’è stato spazio per riflessioni più ampie, ad esempio il COVID non ha colto impreparato solo il settore tech orientato ai servizi sanitari, ma anche il settore tecnologico in generale, con i fornitori di servizi di connettività impreparati a gestire l’aumento esponenziale del flusso del traffico dati e con i fornitori di software di videoconferenza impreparati a soddisfare la domanda generata dalla pandemia. Anche di queste inefficienze generali ha risentito il settore sanitario, che non ha potuto contare su una priorizzazione del suo traffico e su strumenti di videoconferenza adatti alle necessità specifiche dell’ambito.

Il convegno si è chiuso quindi con l’invito a formulare strategie per la promozione istituzionale di una solidarietà digitale, di modo che i dati e la tecnologia funzionino per tutte le persone in Europa, in particolare per quelle più vulnerabili, così da garantire, anche grazie allo strumento tecnologico, un futuro digitale più sicuro e più sano.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5