I nostri dati personali, a partire probabilmente da quelli sanitari, potranno finire nelle mani delle multinazionali, a scopi di ricerca scientifica o statistici. Senza bisogno del consenso dell’interessato e senza nemmeno doverlo avvisare.
Il tutto è stato autorizzato, a sorpresa, da due articoli comparsi nella “legge europea 2017” (la 167, con cui l’Italia recepisce obblighi comunitari) uscita in Gazzetta ufficiale la scorsa settimana. Ed entra in vigore già dal 12 dicembre.
E’ un implicito via libera dell’Italia a un dossier che aveva suscitato grosse polemiche e l’altolà del Garante della Privacy: l’accordo tra il Governo Renzi e l’Ibm per l’uso dei dati sanitari italiani – a partire da quelli della Lombardia – in cambio dell’apertura a Milano del suo centro Watson Health. Di qualche giorno fa anche una lettera della Commissione europea (Direzione generale Concorrenza) al Governo per ottenere chiarimenti sull’accordo, preoccupata tra l’altro che ci possano essere discriminazioni lesive per i concorrenti di Ibm.
Ibm, come tutte le multinazionali tecnologiche, ha bisogno dei dati dei cittadini per alimentare i propri sistemi di intelligenza artificiale, rendendoli più competitivi in quello che tutti gli esperti considerano il business del futuro. L’intelligenza artificiale, alimentata dai big data, per migliorare la sanità, la gestione delle città e delle utility, tra l’altro. Un mercato miliardario, secondo varie stime: 4 miliardi di dollari previsti nel 2017 solo per i big data nella Sanità, secondo Sns Research, con una crescita del 15% annuo fino al 2030.
In particolare, la legge appena uscita anticipa il regolamento europeo (Gdpr) che entra in vigore a maggio 2018; ma lo fa con una tale genericità e permissività da preoccupare gli esperti. “Tra qualche giorno sarà possibile dare, per scopi di ricerca scientifica o statistici, tutti i dati degli italiani, con la sola tutela di un’autorizzazione da parte del Garante Privacy prevista in modo troppo generico dalla norma”, dice Francesco Pizzetti, ex garante della privacy e docente ordinario di Diritto Costituzionale pressol’Università di Torino. “La norma non prevede infatti il diritto dell’utente a essere informato né ad accedere a questi dati. Vincola l’autorizzazione del Garante solo al fatto che i dati siano anonimizzati e che sia rispettato il principio di minimizzazione dell’utilizzo. Ossia che siano usati solo quelli che servono per quella ricerca scientifica”, aggiunge.
“Non si comprendono le ragioni di tanta urgenza nel fare questa legge. Se non pensando ai grandi interessi di tutte le multinazionali tecnologiche nei confronti del mercato dell’intelligenza artificiale, nutrito dai dati personali dei cittadini”, dice Andrea Lisi, avvocato esperto di questi temi.
Negli ultimi mesi, Ibm ha lavorato ad accordi non solo con il Governo italiano ma anche con quelli di altri Paesi, come Francia e Regno Unito, per ottenere i dati dei cittadini.
Anche l’anonimizzazione apre dubbi e problemi. La norma non chiarisce se sia lo Stato a dover anonimizzare i dati o lo possa fare anche un soggetto privato. Nel secondo caso, significa che l’azienda destinataria avrebbe comunque i nostri dati in chiaro in un qualche momento. Nel primo caso, bisogna assicurarsi che lo Stato sia in grado di reclutare competenze sufficienti per anonimizzare bene i dati. Altrimenti significa mettere comunque a rischio la privacy dei cittadini (i cui dati su malattie e terapie seguite potrebbero finire per esempio nelle mani di cyber criminali o di aziende di assicurazione). E queste competenze, come fatto notare dal Garante al Governo, in Italia sono molto immature rispetto ad altri Paesi europei.
Infine, c’è una questione di fondo, di principio costituzionale, che ora anima il dibattito tra gli esperti e tra i Garanti privacy europei. Migliorare la Sanità con i dati dei cittadini è un valore di interesse pubblico. Allora forse i dati anonimizzati dovrebbero essere resi pubblici. Ma in questo modo nessun soggetto privato avrebbe un reale incentivo a procedere con un trattamento complesso come l’anonimizzazione ed esporsi al rischio di infrazioni al Regolamento Privacy (Gdpr), con conseguenti sanzioni.
Di base, c’è una questione più ampia, che investe i fondamentali stessi della democrazia. Le risorse per fare avanzare la medicina – con l’intelligenza artificiale, per esempio – sono sempre di più nelle disponibilità di soli grandi soggetti privati e sempre meno dello Stato. La sfida per i Governi è trovare modi per conciliare questa situazione con due diritti dei cittadini: alla salute e quello alla privacy. È un difficile equilibrio. Entrambi gli eccessi opposti renderebbero, alla fine, più difficile per i cittadini l’accesso a cure migliori. Norme troppo rigide possono infatti disincentivare gli investimenti di quei soggetti privati (con danno per il settore salute e per l’indotto economico in generale). I quali per altro avrebbero così interesse a investire in Paesi con norme più favorevoli.
Di contro, norme troppo permissive minacciano non solo la privacy dei cittadini; ma anche – per esempio dando troppe prerogative in forma esclusiva a singole aziende – sono incompatibili con l’obiettivo generale di rendere quanto più condivisi possibili i risultati di quegli avanzamenti medici ottenuti con la tecnologia.