Tutela privacy, la protezione dei dati personali, soprattutto se di salute, non è una chimera. Gli strumenti ci sono

Per più di due decenni, internet e le tecnologie dell'informazione hanno guidato l'innovazione in un modo che non ha precedenti. Molti dei benefici che abbiamo ricevuto sul piano economico e dal miglioramento dei servizi derivati dai social media sono alimentati da dati individuali che popolano un complesso ecosistema di database, da quelli più semplici ad altri, estremamente complessi, come quelli che riguardano la nostra salute. I cittadini, tuttavia, potrebbero non essere sempre in grado di capire i vantaggi personali ma anche le potenziali conseguenze per la loro privacy quando interagiscono con sistemi, prodotti e servizi di questo genere. Allo stesso tempo, le organizzazioni pubbliche o private, potrebbero non rendersi conto della piena portata di queste implicazioni per gli individui e per la società sia nella parte istituzionale pubblica che aziendale privata.

A seguito di un processo trasparente e basato sul consenso che ha incluso sia le parti interessate private che quelle pubbliche circa due anni or sono, il National institute of standards and technology (Nist) ha pubblicato il suo Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management (Privacy Framework), che in questi mesi di dibattito, spesso inutile, su Green Pass sì-Green Pass no, mi è tornato in mente per il rigore dell'analisi e il contributo, reale, al dibattito sulla gestione della privacy attraverso una attenta valutazione dei rischi sia individuali che sociali che possono derivare dall'applicarla troppo o troppo poco. Il concetto portante di questo corposo documento di circa quaranta pagine è che le tecnologie che servono per consentire una adeguata protezione della privacy soprattutto per quanto riguarda i dati di salute e malattia esistono ma non vengono applicate perché coloro che si occupano di garantire quella stessa privacy non le conoscono e/o non le capiscono. Innumerevoli atti di amministrazioni pubbliche che, a vario livello, archiviano e controllano i nostri dati sensibili sanitari dimostrano che purtroppo è così. Dobbiamo invece iniziare a dire ai cittadini che esistono processi decisionali etici nella progettazione e tecnologie operative di prodotti e servizi in grado di ottimizzare i vantaggi, minimizzando i rischi sulla privacy degli individui e per la società nel loro complesso. Sappiamo da tempo che esistono standard oggettivi per la definizione di tali processi etici decisionali che si basano su norme, valori e aspettative legali di una data società. Sappiamo anche che alcune di queste procedure e delle loro applicazioni tecnologiche devono poter adempiere agli attuali obblighi di conformità, così come anticipare quelli futuri in un ambiente tecnologico e politico in costante evoluzione.
A una analisi meno superficiale di quelle attuali ci si accorgerebbe, immediatamente, che una valutazione del rapporto beneficio/rischio delle informazioni personali non può essere lo stesso nei diversi campi a cui si vuole applicarla. I dati che riguardano scelte di vita personale o condizioni economiche non possono essere trattati con quelli che riguardano la salute e quelli che riguardano la salute non possono essere gestiti nello stesso modo da una assicurazione privata che vorrebbe decidere a priori l'entità del premio in base allo stato di malattie pregresse o da un professionista sanitario che grazie a quelle stesse informazioni deve impostare una terapia e prescrivere delle strategie preventive perché la condizione medica non si aggravi.

Poter contare su un Framework - ovvero su un quadro di riferimenti articolato e flessibile basato sulla valutazione del rischio e sui risultati invece che su una singola normativa omnicomprensiva per situazioni obiettivamente molto diverse tra loro, persino opposte come l'esempio appena discusso - consente di affrontare diverse esigenze di privacy, offrendo le soluzioni più innovative ed efficaci nel predire, per esempio, la probabilità (mai la certezza) di un aggravamento per la salute in un dato individuo basandosi su centinaia di milioni di informazioni, anonimizzate quando e come serve, di molti altri che le mettono volentieri a disposizione perché uno di loro potrebbe essere proprio quello che trae il beneficio delle tecnologie più moderne come il machine learning, l'intelligenza artificiale e l'internet delle cose applicate alla salute e alla prevenzione delle malattie umane.

Luca Pani
Università di Modena-Reggio Emilia e Università di Miami

Per approfondire
Nist privacy framework: a tool for improving privacy through enterprise risk management, version 1.0, January 16, 2020.
https://doi.org/10.6028/NIST.CSWP.01162020