Google e l’Università di Chicago Medical Center sono stati citati in giudizio in una class action per aver violato la privacy dei pazienti a seguito di una partnership di condivisione dei dati che le parti hanno sottoscritto due anni fa.
L’esposto, presentato da Matt Dinerstein nel tribunale del distretto settentrionale dell’Illinois, accusa l’Università di Chicago Medical Center di aver fornito a Google le cartelle cliniche dei propri pazienti malgrado, al momento del ricovero, dichiarasse di non fornire questi dati a terzi per scopi commerciali.
L’università, secondo l’accusa, non ha informato i pazienti né richiesto e avuto il loro esplicito consenso per compiere questa operazione, volta a ottenere un profitto.
Google e l’università hanno affermato che le cartelle cliniche sono state anonimizzate. Secondo l’accusa però i documenti che l’Università ha fornito a Google includevano dettagli sulle tempistiche delle visite e copiose note di testo libero.
L’esperienza di Google nel data mining e nell’intelligenza artificiale, denuncia Dinerstein, grazie anche all’acquisizione da parte di Google della società di intelligenza artificiale DeepMind, permetterebbe di determinare l’identità di quasi tutte le cartelle cliniche rilasciate dall’università.
Oltre a chiedere un risarcimento in denaro, la causa richiede un’ingiunzione che impone all’Università di Chicago di rispettare tutte le norme di anonimizzazione HIPAA, ingiungendo all’organizzazione di non divulgare a terzi le cartelle cliniche dei pazienti senza aver prima ottenuto il loro consenso.
Chiede inoltre un’ingiunzione che vieti a Google di utilizzare le cartelle cliniche dei pazienti ottenute dall’università e un ordine che richiede a Google di cancellare tutte le cartelle cliniche dei pazienti ricevute.
Poiché le cartelle cliniche elettroniche contengono informazioni altamente sensibili e dettagliate dei pazienti, ad esempio non solo l’altezza, il peso e i segni vitali di una persona, ma anche se soffrono di determinate malattie o hanno subito una procedura medica, il rilascio di questi dati da parte dell’Università sarebbe in violazione dell’HIPAA, sostiene Dinerstein.
“Le informazioni mediche personali ottenute da Google sono le informazioni più sensibili e intime nella vita di un individuo, e la sua divulgazione non autorizzata è molto dannosa per la privacy di un individuo“, afferma l’esposto presentato.
I temi dell’anominizzazione e della pseudo-anominizzazione sono al centro dell’attenzione sia negli USA (HIPAA), sia in Europa dove l’anno scorso è entrato in vigore il nuovo regolamento europeo della privacy (GDPR).
La diffusione delle cartelle cliniche elettroniche e la presenza di repository clinici ricchi di informazioni rendono disponibili una grande quantità di dati, sia in forma strutturata, sia in forma di testo, che possiedono un grande valore per la ricerca scientifica e lo sviluppo di applicazioni commerciali.
Per dare un’idea della dimensione del fenomeno, il mercato mondiale dei big data analytics in sanità valore oltre 25 miliardi di dollari, con un tasso di crescita annuo di oltre il 28%.
La potenza delle tecnologie di IA e la quantità di informazioni che aziende come Google possiedono, rendono il tema dell’anonimizzazione molto critico. L’oscuramento dei dati anagrafici non è infatti sufficiente per impedire a terzi di identificare le persone incrociando i dati delle prestazioni sanitarie e i dati clinici con altre informazioni.
L’enorme quantità di dati che i giganti del web possiedono, incluso i social, la posta elettronica, gli acquisti, gli spostamenti tanto per citarne alcuni, rendono molto difficile preservare l’identità dei dati clinici anche se in forma anonima.