Marzo 2025: entra in vigore il Regolamento sullo Spazio europeo dei dati sanitari (EHDS). Un’infrastruttura comune che permetterà, entro il 2029, a qualsiasi cittadina e cittadino europeo di condividere i propri dati sanitari attraverso i confini nazionali, per curarsi all’estero, per contribuire alla ricerca, per alimentare l’innovazione. Un progetto ambizioso, presentato come la pietra angolare dell’Unione europea della salute.

Ma dietro l’architettura normativa, restano aperte alcune domande fondamentali. Chiara Gallese, ricercatrice Marie Curie che ha trascorso anni a studiare l’uso etico dei dati sanitari in Europa, ne individua una in particolare: chi decide quando un dato smette di essere tuo? Esperta in diritto dell’intelligenza artificiale, ora Gallese sta proseguendo la sua attività di ricerca all’Università di Tilburg, all’Institute for Law, Technology, and Society (TILT).

Anche le aziende potranno accedere ai dati

L’EHDS ha due anime. La prima, l’uso primario, riguarda la cura: se sei in vacanza in Spagna e hai bisogno di un intervento d’urgenza, il medico potrà accedere al tuo profilo sanitario, alle tue prescrizioni, alla tua storia clinica. La seconda, l’uso secondario, è più controversa: consente il riutilizzo dei dati sanitari per ricerca, sviluppo di prodotti, elaborazione di politiche pubbliche. E qui entra in gioco un elemento che ha fatto discutere: l’accesso è aperto anche a soggetti privati, incluse aziende a scopo di lucro.

Le garanzie esistono, almeno sulla carta. I risultati delle analisi condotte sui dati devono essere pubblicati entro diciotto mesi. I prodotti sviluppati non possono essere usati contro l’interesse del paziente. La norma cita esplicitamente il divieto di aumentare i premi assicurativi. E chiunque faccia richiesta di accesso deve ottenere un’approvazione dagli organismi competenti. «Ma non sappiamo ancora come queste richieste verranno valutate», osserva Gallese. «E non esiste una clausola generale di best interest del paziente come principio vincolante».

Gli Stati membri, inoltre, possono in determinate circostanze forzare l’accesso ai dati anche quando il paziente ha esercitato il diritto di opt-out, se sussistono ragioni di rilevante interesse pubblico. L’Italia, anticipando questa logica, ha già approvato una norma sull’intelligenza artificiale che dichiara il riuso dei dati medici interesse pubblico, aprendo la strada all’addestramento di sistemi di intelligenza artificiale con cartelle cliniche, nel rispetto formale del GDPR.

Il problema che nessuno ha risolto: l’anonimizzazione

Al centro di tutto c’è un concetto apparentemente tecnico, ma in realtà scivoloso: l’anonimizzazione. Il GDPR stabilisce che un dato privo di identificativi diretti o indiretti sufficienti a ricondurlo a una persona non è più un dato personale. E se non è più un dato personale, non è più soggetto alle tutele previste per i dati sanitari. Cade l’obbligo di consenso, si allentano le misure di sicurezza, cambia radicalmente il regime di responsabilità.

«Se il dato è considerato personale, l’azienda che lo tratta è obbligata a rispettare una serie di norme stringenti e a garantire la sicurezza», spiega Gallese. «Dopo, è tutta un’altra storia.»

Il problema è che quella soglia – quando cioè un dato diventa anonimo – non è né fissa né oggettiva. Gallese, che ha coordinato il progetto DataCom – A new EU Framework for an Ethical Re-use of Health Data con il gruppo di ricerca del professor Ugo Pagallo all’Università di Torino e ha pubblicato lavori critici proprio su questo (come questo e questo, per esempio), spiega che trattare l’anonimizzazione come una categoria binaria, un interruttore che si accende o si spegne, è sbagliato. Perché è un concetto sfumato che dipende dal contesto, dagli strumenti disponibili, dalla quantità di altri dati con cui può essere incrociato. E che ha un costo pratico: più un dato viene aggregato e depurato per risultare anonimo, meno è utile clinicamente. Il personale medico ha bisogno di specificità infatti per prendere decisioni. Un dato troppo anonimizzato è spesso un dato inutile.

La decisione sarà politica

Con l’EHDS si prevede la creazione di organismi intermediari nazionali – probabilmente uno per Stato membro – incaricati di valutare le richieste di accesso ai dati e di stabilire, caso per caso, il livello di anonimizzazione ritenuto sufficiente. È a questi soggetti che spetterà, di fatto, definire dove corre il confine tra dato personale e dato libero.

«La decisione finale sarà politica, non solo tecnica», dice Gallese senza esitazione. E aggiunge che la confusione non è solo istituzionale. «Confrontandoci infatti tra colleghi accademici ci siamo resi conto che molte questioni non sono state pensate fino in fondo. C’era fretta di approvare».

Il rischio che nessuna norma elimina

Sullo sfondo c’è un dato di realtà che il diritto fatica a governare: la reidentificazione. Il regolamento la vieta esplicitamente: in altre parole chi accede ai dati non può tentare di risalire all’identità dei pazienti. Ma il divieto normativo non neutralizza la vulnerabilità tecnica. «In realtà l’EHDS consente anche di chiedere dati non anonimi se si giustifica il bisogno di quel dato nella richiesta di accesso, nel qual caso il paziente ha diritto di opt-out. Il diritto di opt-out invece non riguarda i dati anonimizzati» spiega Gallese.

I dati sanitari sono tra i più preziosi sul mercato dei data broker. Non a caso, gli attacchi informatici agli archivi ospedalieri sono documentati e frequenti. E la caratteristica strutturale dei dati rende il rischio proporzionale all’apertura del sistema: più circolano, più escono dal perimetro di controllo del titolare originario.

«Nella società attuale è relativamente facile reincrociare i dati e risalire alle persone», osserva Gallese. Il paradosso è proprio questo: nel momento in cui un dato viene classificato come anonimo, si allentano le garanzie che avrebbero dovuto proteggerlo, proprio quando quel dato è già uscito dalla sfera di controllo di chi lo ha generato.

L’EHDS è, come lo definisce Gallese, una disciplina in costruzione. Il calendario di implementazione si estende fino al 2035, gli Stati membri devono ancora emanare le normative di recepimento, i meccanismi operativi non sono definiti. Nel mezzo, milioni di cartelle cliniche, referti, immagini diagnostiche e dati genomici di cittadini europei aspettano di sapere chi li custodisce e fino a dove.