Il Garante per la privacy ha sanzionato tre Asl friulane che, attraverso l’uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
Le tre ASL avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei.
L’oggetto della contestazione
L’indagine è partita dalla segnalazione di un medico che ha inviato all’Autorità la delibera della Giunta della Regione Friuli Venezia Giulia, n. 1737 del 20 novembre 2020 che chiedeva ai Medici di Medicina Generale (MMG) di validare, al fine della corresponsione pro rata di parte del compenso variabile, “attraverso il portale informatico regionale, una lista di utenti/assistiti preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio, come in condizioni di complessità e comorbidità al fine di stratificazione statistica compilando schede informatiche in cui riportare dati bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita, ecc.”.
Allegato alla delibera era presente un “verbale di intesa tra la Regione FVG e le organizzazioni sindacali dei MMG per la disciplina dei rapporti biennio 2020 -2021 e delle attività connesse all’emergenza epidemiologica da Covid-19”. Il verbale prevede, come primo obiettivo, la “stratificazione, complessità e comorbidità ad alto rischio di complicanze maggiori per infezioni da Covid-19”, rispetto al quale nella sezione “note” del verbale sono fornite sintetiche indicazioni sulla predisposizione degli elenchi degli assistiti da sottoporre ai piani di medicina d’iniziativa e sulle modalità attraverso le quali gli stessi, tramite la società Insiel, sono scaricati “dal portale della continuità delle cure” e resi poi disponibili alle aziende sanitarie.
La segnalazione riferiva che la delibera imporrebbe ai MMG una comunicazione dei dati sulla salute dei propri pazienti senza possibilità per gli stessi di verificare “se l’Azienda sanitaria abbia preventivamente assunto il consenso” al trattamento dei dati personali degli stessi per finalità di “stratificazione statistica”, evidenziando, inoltre, come tale specifica disciplina preveda “la trasmissione ai fini statistici o amministrativi dei dati in modo anonimo”.
L’istruttoria
Il Garante ha avviato un’istruttoria chiedendo alla regione Friuli Venezia Giulia la base giuridica del trattamento dati relativo alla delibera in questione, le modalità di acquisizione del consenso informato degli assistiti qualora il trattamento sebbene volto al perseguimento di finalità di cura, non sia strettamente necessario a tale scopo, la descrizione dei flussi, la valutazione di impatto effettuata.
La regione ha replicato che il trattamento è stato circoscritto ai soli assistiti che avevano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG e che “l’identificazione degli assistiti e il loro inserimento nelle liste trova il fondamento giuridico nel consenso generico fornito dall’interessato e relativo alla visibilità da parte del MMG”.
In relazione alla necessità di redigere una valutazione di impatto, la Regione ha dichiarato che “nessuna attività di medicina di iniziativa può, pertanto, ravvisarsi nell’attività sopra descritta e, conseguentemente, nessuna attività di valutazione di rischio specifico risulta necessaria in primis da parte della Regione, che in ogni caso non ha mai accesso a dati personali, ma nemmeno da parte delle Aziende sanitarie regionali”.
La Regione ha poi specificato che la stratificazione dei pazienti è avvenuta impiegando un algoritmo del sistema Johns Hopkins ACG System che seleziona gli assistiti con classi RUB 4 e 5”. I “RUBs (Resource Utilization Bands) sono delle misure sintetiche del grado di complessità assistenziale di una popolazione intesa in termini di consumi attesi di risorse in una scala da 0 a 5. Le informazioni necessarie sono state estratte dal data warehouse regionale in cui ogni Azienda Sanitaria è Titolare del trattamento dei dati personali dei propri assistiti.
I dati trattati sono stati pseudonimizzati attraverso l’apposizione di codici numerici casuali elaborati dalla Agenzia Regionale di Coordinamento alla Salute (ARCS) per l’attribuzione “dei filtri sulle classi Rub 4 e 5 e sulla presenza del consenso alla visualizzazione del fascicolo sanitario” e resi disponibili alla società Insiel. Tale società, “Al fine di comunicare i dati ad ogni MMG in relazione ai propri assistiti, ha aggiunto codice fiscale, cognome e nome all’estrazione e ha reso disponibile l’elenco dei pazienti sull’applicativo regionale Portale di Continuità della Cura”. L’elenco si compone di circa 40.000 assistiti.
Esito e sanzione
Al termine dell’istruttoria, una per ciascuna ASL, l’Autorità ha sancito che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza fornire agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto prevista dal Regolamento UE in materia di protezione dati.
L’Autorità ha ribadito che la profilazione dell’utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie.
Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l’uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati.
Chi volesse approfondire il caso che è molto complesso può leggere il comunicato del Garante qui e trovare in questa pagina il dettaglio di ciascun provvedimento.
2 thoughts on “Il Garante della privacy contro la medicina di iniziativa: sanzionate tre ASL del Friuli”