Il Garante per la Privacy ha sanzionato tre ASL friulane che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
Le ASL avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei. Nel corso dell’istruttoria dell’Autorità, che si era mossa dopo la segnalazione di un medico, è infatti emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal Regolamento Ue in materia di protezione dati.

Ci vuole la normativa

L’Autorità ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie.

Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.

Nel documento il Garante fornisce una sua interpretazione della medicina di iniziativa affermando che “Con specifico riferimento alle finalità di cura e prevenzione, si rappresenta che il Garante ha già evidenziato che tali trattamenti devono essere considerati ulteriori e autonomi rispetto a quelli strettamente necessari alle ordinarie attività di cura e prevenzione, e quindi effettuabili solo sulla base dello specifico consenso informato dell’interessato”. In più, “Tra le finalità perseguibili attraverso il FSE non figura pertanto quella relativa alla medicina predittiva o di iniziativa. Il legislatore, infatti, anche nei recenti interventi effettuati in materia, non ha esteso tale finalità tra quelle perseguibili attraverso il FSE”.

Per medicina di iniziativa si intende il modello assistenziale considerato particolarmente idoneo per gestire le patologie croniche e che prevede da parte del Medico di Medicina Generale, un intervento attivo verso i pazienti sollecitandoli a sottoporsi ai controlli e offrendo loro un insieme di interventi personalizzati.