Cristina Bosso e Valentina D’Adda*
- Dati sanitari: trattamento e circolazione in Europa[1]
Nel corso dell’ultimo decennio, in particolare dopo l’avvento della pandemia, si è assistito a una crescente digitalizzazione della sanità, anche alla luce dell’incremento della raccolta di big data e dello sviluppo dei processi di machine learning nell’ambito della ricerca medica transnazionale[2].
Tali fenomeni offrono spunti di riflessione in merito alle condizioni di trattamento e di circolazione dei dati sanitari e al ruolo svolto dal titolare degli stessi in relazione all’iniziale trasferimento e ai successivi passaggi.
Da un punto di vista giuridico, il Regolamento generale sulla protezione dei dati (UE/2016/679) all’art. 4 par. 1 n. 15 definisce i dati relativi alla salute come “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Il loro trattamento è in linea generale vietato, a meno che non si verifichi uno dei casi espressamente previsti, tra i quali rientra il conferimento del consenso da parte del titolare. Sono previste, inoltre, ulteriori e particolari esigenze che giustificano il trattamento di tali dati in assenza del consenso espresso del soggetto.
Quanto alla prospettiva strettamente tecnologica, i dati sanitari sembrano essere sovente conservati da parte delle pubbliche amministrazioni che svolgono attività sanitaria all’interno di database ad accesso protetto. Oltre ad essi, altri strumenti hanno acquisito importanza, fra cui i c.d. API (Application Programming Interfaces)[3].
Ciò premesso, occorre esaminare all’interno dell’emergente panorama tecnologico le soluzioni alternative che consentano maggior partecipazione e controllo da parte del titolare dei dati sanitari e maggior sicurezza nella conservazione e nella circolazione degli stessi.
- NFT e tutela dei dati sanitari
Fra le nuove forme di proprietà digitale in grado di realizzare un mercato digitale dei dati sanitari, emergono gli NFT, Non-Fungible Token (ossia token non fungibili).
Un token viene definito come un insieme di informazioni digitali che rappresenta digitalmente una posizione legale su un bene o un diritto su un oggetto specifico[4]. I token non fungibili sono di per sé unici, non intercambiabili e insostituibili e ogni token rappresenta la proprietà di un soggetto su uno specifico asset digitale[5].
Gli NFT sono creati “coniando” – dall’inglese “minting” – contenuti digitali su una blockchain. Il minting comporta il caricamento, la verifica da parte di altri computer, la marcatura temporale dei contenuti, della posizione e dell’autore delle informazioni digitali. Tutte le transazioni successive vengono registrate su quello che può essere definito come “libro mastro digitale” (digital ledger) distribuito su una rete di computer.
I token non fungibili si sono diffusi grazie agli smart contract, ossia contratti digitali costituiti da metadati che ne specificano i diritti di accesso e i termini di scambio. Tali contratti consistono in accordi digitali scritti in codice informatico, eseguito su una blockchain o altre distributed ledger technologies (DLT)[6] in maniera automatica e senza la necessità di alcun intervento umano[7].
- Potenzialità e punti deboli
Il sistema esaminato potrebbe consentire ai pazienti di controllare i propri dati digitali e di definire i termini in base ai quali è possibile accedervi e utilizzarli, così contribuendo a supplire alle inefficienze e alla mancanza di trasparenza nel trasferimento dei dati sanitari.
Peraltro, i soggetti interessati all’acquisizione dei dati potrebbero agevolmente verificarne la provenienza e l’autenticità grazie alle peculiari caratteristiche della blockchain e all’unicità dei token.
Infine, la tecnologia in questione sarebbe in grado di contribuire al superamento di alcune delle criticità del sistema di trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti[8]. Grazie agli NFT, vi sarebbero sostanzialmente due alternative: una di natura contrattuale, per cui il paziente potrebbe specificare nel corpo del contratto quali soggetti sono legittimati ad accedere ai dati; l’altra più strettamente tecnologica, per cui, tramite lo smart contract, verrebbe stabilito preventivamente e automaticamente che i dati siano resi indisponibili (digitally locked) a tutti coloro che non sono stati autorizzati.
Tuttavia, l’uso degli NFT non previene necessariamente ogni data breach perché le informazioni digitali contenute nella blockchain sono solamente i metadati di cui viene garantita l’integrità, la provenienza e i termini dei precedenti trasferimenti. Al contrario, i sottostanti dati sanitari non godono dello stesso livello di protezione, in quanto la loro tutela dipende dall’adozione di adeguati sistemi di digital security e in particolare di crittografia.
Inoltre, emergono alcuni dubbi di carattere etico e giuridico legati alla possibilità di esercitare il diritto di cancellazione e quello di rettifica dei dati personali inesatti (artt. 16 e 17 Regolamento UE/2016/679).
A ciò si aggiunga che, nonostante questo sistema consenta la pseudonimizzazione dei dati dei pazienti, pochi elementi basterebbero per la loro reidentificazione: infatti, i dati sanitari sono talvolta così particolari da poter essere paragonati a “impronte digitali” del soggetto.
- Conclusione
Alla luce delle considerazioni svolte, la tutela e il trasferimento dei dati personali sanitari si confermano essere due aspetti centrali e attuali, ampiamente ricompresi nella sfera d’azione delle istituzioni europee.
L’Unione europea ha messo in atto una precisa strategia digitale[9], da cui nel 2020 è scaturita una proposta di regolamento, il Data governance act[10], il cui presupposto è la constatazione che i dati sono una risorsa essenziale per la crescita economica, per lo sviluppo della società e per l’innovazione; infatti, le applicazioni data driven possono avere benefici per gli utenti in vari settori, fra cui quello sanitario.
Sulla scia di tale iniziativa legislativa, nel febbraio 2022 la Commissione europea ha presentato un’altra proposta di regolamento, il c.d. Data act[11], con l’intento di armonizzare la normativa in tema di accesso e utilizzo dei dati. In concreto, la riforma è volta alla creazione di infrastrutture comuni e di un data space per ciascun settore di interesse, con l’obiettivo di agevolare la disponibilità e la circolazione dei dati, in sicurezza e nel rispetto della cornice normativa europea.
All’interno di questo contesto politico e normativo, la tecnologia blockchain-NFT potrebbe rappresentare una delle infrastrutture che il legislatore europeo mira a costruire per facilitare il trasferimento dei dati, così da permettere agli utenti di partecipare alle vicende circolatorie dei dati che li riguardano. Anche le amministrazioni pubbliche nazionali potrebbero beneficiare di tali strumenti innovativi e, di conseguenza, il sistema sanitario nel complesso ne gioverebbe.
A fronte delle riflessioni elaborate, si intravede all’orizzonte un ideale clima di rinnovamento che potrebbe rivoluzionare la gestione dei dati sanitari e il relativo background giuridico.
____________________________________
*Cristina Bosso si è laureata cum laude in Giurisprudenza all’Università degli Studi di Torino ed è abilitata all’esercizio della professione forense. Valentina D’Adda si è laureata cum laude in Giurisprudenza all’Università degli Studi di Milano, focalizzando il suo percorso accademico su temi di Proprietà Intellettuale e Diritto delle Nuove Tecnologie. Entrambe sono iscritte al master di secondo livello LLM Law of Internet Technology dell’Università Bocconi.
[1] L’analisi riportata nel presente contributo in forma di blog post è stata pubblicata integralmente nel quadro di studio “La civiltà delle macchine” promosso da Fondazione Leonardo, in “Dati sanitari e NFT: nuovi strumenti e sfide per il mercato digitale”.
[2] AP NEWS, Innovaccer Data Activation Platform Rated Top End-to-End Hospital & Health System Population Health Solution, 2022, Black Book Survey in apnews.com.
[3] Si tratta di applicazioni che, mediante modalità standard, espongono le funzionalità di altre applicazioni per agevolare la programmazione e l’integrazione tramite l’immediato accesso ai dati per mezzo di appositi algoritmi. Microsoft offre uno specifico pacchetto di health data services su cloud in azure.microsoft.com.
[4] L. Oliveira – L. Zavolokina – I. Bauer – G. Schwabe, To Token or not to Token: Tools for Understanding Blockchain Tokens, in International Conference of Information Systems, 2018, 5 e ss.
[5] D. Das – P. Bose – N. Ruaro – C. Kruegel – G.Vigna, Understanding Security Issues in the NFT Ecosystem, 2022, 4 e ss., in researchgate.net.
[6] I token vengono registrati su una blockchain che rappresenta una tipologia particolare di distributed ledger technology (DLT). Con ledger, che letteralmente può essere tradotto come libro mastro o registro, si intende una tecnologia che applicando la crittografia permette di mantenere più copie di un libro mastro centrale attraverso una rete informatica. Ogni libro mastro conserva una copia del database digitale di tutte le transazioni mai avvenute ed è formato da tanti blocchi di documenti elettronici criptati, collegati tra loro e diffusi attraverso una fitta rete informatica peer-to-peer. R. De Caria, The Legal Meaning of Smart Contracts, in European Review of Private Law, 2019, 733 e ss.
[7] M. Raskin, The law and legality of smart contracts, in Georgetown Law Technology Review, 2017, 304 e ss.
[8] La Corte di Giustizia dell’Unione Europea ha ritenuto illegittimo il c.d. Privacy Shield, ossia l’accordo che regolava il trasferimento dei dati, poiché tale meccanismo non consentiva, tra l’altro, ai titolari dei dati di ottenere un valido ristoro. Si veda la decisione Schrems II, C-311/18, 16 luglio 2020, in curia.europa.eu.
[9] Commissione europea in digital-strategy.ec.europa.eu.
[10] Commissione europea, Regolamento del Parlamento e del Consiglio relativo alla governance europea dei dati, 25.11.2020, COM(2020) 767 final in eur-lex.europa.eu. Secondo il comunicato stampa emerso il 6 aprile 2022, il Parlamento ha approvato l’atto, che ora dovrà essere adottato formalmente dal Consiglio.
[11] Commissione europea, 23.2.2022, COM(2022) 68 final, Regolamento del Parlamento e del Consiglio sull’armonizzazione delle regole di accesso e utilizzo dei dati in digital-strategy.ec.europa.eu/en/policies/data-act.
