anonimizzazione-gdpr

Di recente il Garante Privacy ha sanzionato una società, Thin Srl, per violazione della disciplina in materia di protezione dei dati personali relativi al processo di anonimizzazione di dati sanitari.

Partiamo dai fatti…

La società in questione aveva lanciato un progetto che consisteva nell’analisi di dati clinici per ricerca scientifica. Questi dati venivano reperiti, in maniera anonimizzata, dal software Medico 2000, utilizzato dai medici di base volontari del progetto. L’istruttoria nasce perché, uno dei medici di medicina generale che partecipava al progetto, ha segnalato un presunto illecito in termini di anonimizzazione.

Cosa è emerso dal procedimento?

La società ha dichiarato: di ricevere solo dati anonimi, che Mediatec Srl (sviluppatore di Medico 2000) ha apportato tutte le misure tecniche adeguate che rispettano il Parere 05/2014 (WP29) e di attuare processi di verifica costanti sulle garanzie adottate. Thin Srl ha, inoltre, dichiarato di aver concluso l’assessment sulla protezione dei dati e, specificando i ruoli di titolarità tra le figure facenti parte del progetto, ha dichiarato che i dati personali dei pazienti vengono recepiti e gestiti direttamente dal medico di base durante il rapporto con gli stessi e che, avendo lui stesso titolarità autonoma, è tenuto ad informarli circa il trattamento che andrà a svolgere.

Ma come vengono anonimizzati i dati?

Una volta recepite le informazioni, queste vengono criptate in un file compresso ed inviate in modalità incrementale al server della Thin ubicato in Francia. Per garantire che i dati inviati venissero realmente anonimizzati, Thin descrive il processo specificando che l’identificatore del paziente viene sostituito con un ulteriore identificatore ottenuto mediante un hash calcolato da un algoritmo sicuro.

Cosa dice il Garante in merito?

In primo luogo ha passato in rassegna i diversi concetti di dato personale, pseudonimizzazione e anonimizzazione specificando che, l’anonimizzazione non rientra nel campo applicativo del GDPR, ma lo stesso processo risulta essere un trattamento e come tale va svolto nell’osservanza dei principi.

Le violazioni?

Pare che la società abbia violato l’art. 5, 9 e 13 del Regolamento poiché il Garante Privacy ritiene che i dati trattati siano in realtà pseuodnimizzati (e non anonimizzati) e che le misure tecniche apportate non rendano il processo totalmente sicuro da garantirne, appunto, l’anonimizzazione. Il trattamento di raccolta dei dati sanitari dei pazienti avviene, secondo il Garante, in assenza di una base giuridica idonea violando, dunque, il diritto di informativa nei confronti degli Interessati.

Insomma, per quanto la buona fede della società sia lampante, in quanto il progetto preveda scopi di ricerca, ciò non giustifica la mancata osservanza del Regolamento. A fronte di ciò la sanzione comminata era di 15mila euro, ma ad oggi la Thin ha esposto ricorso per vie legali sia in Italia che in Europa, in quanto tale comportamento del Garante, basatosi su non reali prove di quanto affermato, rischia di bloccare la ricerca clinica basata sui real world data.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!