Celeste Cagnazzo
Senior clinical research coordinator, Ospedale infantile Regina Margherita di Torino
Il regolamento europeo per la protezione della privacy è nato con intenti nobili per garantire la tutela dei diritti e delle libertà fondamentali dei cittadini europei. Ma la cieca tutela dell’etica individuale rischia di ostacolare le ricerca clinica finalizzata al benessere comune.
Dipende. E proprio il fatto che la risposta alla domanda non sia univoca si pone già come un problema.
Dipende innanzitutto dal contesto. Il regolamento 2016/679 (Gdpr) è nato con intenti nobili, per regolamentare una pratica assai diffusa di cessione incontrollata e non autorizzata di dati personali e sensibili, a fini puramente di lucro. In questo contesto generale mi sentirei di rispondere che, sì, le norme sulla tutela della privacy sono etiche nel loro intento iniziale, perché serviva qualcosa che garantisse la massima tutela dei diritti e delle libertà fondamentali dei cittadini europei. Tuttavia ritengo che la generalizzazione forzata non aiuti mai a dare risposte davvero sensate; e, se penso al mondo della ricerca, non posso non considerare quanto la cieca tutela dell’etica individuale rischi pericolosamente di inficiare la salvaguardia del benessere comune.
Ed ecco che ci troviamo di fronte al secondo “dipende”: stiamo parlando della normativa europea, il Gdpr, oppure dell’interpretazione italiana, a mio parere eccessivamente “cieca”, a cui abbiamo assistito con il decreto legislativo 101 del 10 agosto 2018? Il Gdpr era stato concepito in maniera assennata, prevedendo una serie di considerando al fine di adattare la normativa ai diversi ambiti di applicazione. Eppure molte delle interpretazioni nazionali, prima fra tutte quella italiana, hanno totalmente dimenticato queste premesse, senza le quali il rispetto del Gdpr spesso significa intralciare in maniera preoccupante il progresso scientifico.
Quei dati utili ma intoccabili
Uno dei punti cardine attorno a cui ruota la normativa europea è: informa e chiedi sempre il consenso dell’interessato ogni qualvolta tratti i suoi dati personali per motivi differenti da quelli per cui li hai raccolti e/o trattati in precedenza. Quindi se mettessi in piedi uno studio retrospettivo, ovviamente da sottoporre ad approvazione etica, per cui ho necessità di analizzare dati già presenti in cartella, raccolti sia per pratica clinica che per un precedente studio (e in entrambi i casi il paziente ha firmato l’apposito modulo per autorizzare il trattamento dati), sono costretta a chiedere un terzo consenso in quanto la finalità di trattamento è diversa dalle precedenti. E se lo studio fosse disegnato su una popolazione di pazienti che con ogni probabilità sono deceduti? Se invece fosse disegnato su una popolazione pediatrica?
Al di là della ridondanza delle procedure e, spesso, di conseguenti problemi logistici/amministrativi, è davvero etico ricontattare i parenti di questi pazienti, magari aprendo ferite emotive dolorose, per poter avviare delle ricerche che non avrebbero alcun impatto diretto su questi pazienti e che, nella peggiore delle ipotesi, avrebbero come unica conseguenza il mancato ottenimento di risposte in grado di consentire un seppur piccolo avanzamento scientifico? A mio parere no. Anche perché non dimentichiamoci che abbiamo, giustamente, l’obbligo di passare al vaglio di un comitato etico, quindi c’è già un organismo un rapporto rilevanza scientifica/rigore etico tale da poter avviare lo studio.
Il progresso scientifico deve andare avanti per la tutela del benessere collettivo e perciò, come diretta conseguenza, anche dei diritti del singolo che si diceva di voler difendere con la nuova normativa.
I risvolti della normativa italiana
In passato, con una prescrizione del 2016, il garante per la privacy italiano aveva dato la possibilità, in casi particolari (per esempio, motivi etici e pazienti deceduti) di poter procedere anche senza consenso dell’interessato. Due anni dopo, nonostante il Gdpr per sua stessa natura legale dovesse essere implementato negli Stati membri, senza ulteriori passaggi, è arrivato il decreto legislativo 101. Ed è così che ora, negli stessi casi particolari citati nella prescrizione precedente, è necessaria una preventiva autorizzazione alla ricerca da parte del garante per la privacy.
Dunque: disegno uno studio retrospettivo su una popolazione di pazienti ormai deceduti, invio richiesta di autorizzazione al garante che ha 45 giorni per rispondere. E se non rispondesse in tempo? Vale il silenzio dissenso: ricerca non possibile, a meno che io non lavori in un istituto di ricovero e cura a carattere scientifico (Irccs) che come tale ha una corsia preferenziale. Avendo gli Irccs come mission la ricerca, si dà quindi in qualche modo per scontato che il paziente abbia dato un consenso ab inizio per l’utilizzo dei suoi dati ai fini di ricerca. Ed ecco un altro risvolto non propriamente etico della normativa a tutela della privacy, dato che (sempre per legge) tanto gli Irccs quanto gli ospedali pubblici possiedono i requisiti per poter condurre progetti di ricerca.
Ma ritorniamo al “dipende” dettato dal contesto. Per sua stessa natura, la ricerca scientifica è un ambito in continuo mutamento, e già solo il lasso di tempo che intercorre tra la fase di ideazione di uno studio e la reale partenza è soggetto a nuove possibilità che potrebbero tradursi in nuove finalità di trattamento, banalmente nuove metodiche per processare i campioni biologici. Ed è proprio per questo che gli articoli del Gdpr erano stati preceduti dai considerando a cui accennavo.
Tra l’altro, finalmente siamo vicini alla piena applicazione del regolamento 536/2014, una vera rivoluzione della normativa in tema di sperimentazione che, tra le tante novità, introduce il concetto di one time consent, aprendo alla possibilità di utilizzo dati per finalità secondarie rispetto a quelle per cui sono state raccolte. Un po’ come se il paziente “donasse” i propri dati alla ricerca.
Le conseguenze di tutte le restrizioni imposte dal decreto legislativo 101 stanno portando a una preoccupante paralisi della ricerca osservazionale e, spesso, anche di quella traslazionale. Punto maggiore di non eticità, perché il progresso scientifico deve andare avanti per la tutela del benessere collettivo e, come diretta conseguenza, anche dei diritti del singolo che si diceva di voler difendere con l’introduzione della normativa europea.
Mauro Barberis
Ordinario di filosofia del diritto, Dipartimento Iuslit, Università degli studi di Trieste
L’eticità è l’ultimo dei problemi. Il Gdpr è troppo specifico su certi aspetti e troppo generico su altri, fra i quali la diffusione di dati sanitari a fini di studio e di ricerca. Le soluzioni non stanno nella minuziosa regolamentazione della rete ma in controlli a monte e a valle.
Se posso permettermi, già formulare la questione come “Le normative sulla tutela della privacy dei dati sono etiche?” mi pare, a dir poco, fuorviante. L’eticità delle attuali normative sulla privacy, infatti, mi sembra davvero l’ultimo dei problemi. Prima bisognerebbe chiedersi, fra l’altro, se tali normative, a partire dal mitico Gdpr, siano sensate, poi se siano efficaci e solo allora, nel caso di risposta positiva alle precedenti domande, se siano anche “etiche”, qualsiasi cosa ciò significhi. Per non dare la sensazione di menare il can per l’aia, però, procederò così: prima dirò con quali credenziali rispondo a questa domanda, poi mi porrò, nell’ordine, i problemi della sensatezza, dell’efficacia e dell’eticità delle attuali normative in materia di privacy informatica.
Ho sfiorato la questione in due libri recenti, dai titoli vagamente plateali ma dai contenuti sin troppo seri: “Come internet sta uccidendo la democrazia” (Chiarelettere, 2020), e “Ecologia della rete. Come usare internet e vivere felici” (Mimesis, 2021). Da giurista – non sono un filosofo (generale) – ho provato a indagare se il populismo mediatico, oggetto del primo libro, internet e l’intelligenza artificiale, oggetto del secondo, siano suscettibili di regolamentazione giuridica. Il professor Juan Carlos de Martin, uno dei maggiori informatici italiani, che mi ha fatto l’onore di discutere della questione al Salone del libro di Torino, sostiene di sì, anche se i giganti del digitale vorrebbero farci credere il contrario; mentre i miei studenti, nativi digitali, si mostrano fortemente scettici, e in un senso credo abbiano ragione, come vediamo subito.
I nostri dati non sono nostri
Il primo problema, la sensatezza della regolamentazione della privacy in internet, è infatti proprio il seguente. Ha senso regolamentare la privacy di soggetti – tutti noi utenti della rete – che alla privacy abbiamo rinunciato da mo’, almeno da quando abbiamo aperto un profilo social? Perché abbiamo cominciato postando la foto del gatto e abbiamo finito per metterci le nostre più recondite pulsioni, fedi e fantasie sessuali. Si dirà che qui il problema è un altro, che riguarda i dati sensibili circa la nostra storia sanitaria, la cui privacy dovrebbe essere ancor più sacra, se possibile. Il punto è che le cose non stanno così, e lo sanno tutti: i nostri dati sanitari, di noi pazienti intendo, non sono nostri.
Pensateci. Non ci passa neppure per l’anticamera del cervello di consultarli, sono troppo pesanti per mandarli via mail e troppo lunghi per stamparli, restano patrimonio esclusivo di ambulatori, laboratori di analisi e ospedali non foss’altro perché, quand’anche fossero accessibili, sono illeggibili per i non specialisti. Allo stadio attuale della specializzazione, non solo medica, gli specialisti del dito indice non comunicano più con gli specialisti del dito anulare: figuriamoci con noi pazienti. E sarà sempre più così, se davvero nella sanità post-pandemia, come scrive Nunziante Mastrolia in “Salute, tasse e conti pubblici” (Stroncature.substack.com, 5 dicembre 2021), i pazienti saranno monitorati costantemente in tutti i loro parametri vitali da dispositivi che saranno loro stessi a scegliere di indossare.
Nozze di digitale e burocrazia
Ma ammettiamo, per amor di discussione, che proteggere la nostra privacy sanitaria abbia un senso: neppure il più esibizionista di noi, dopotutto vorrebbe mai esibire coram populo i propri problemi di emorroidi. Poniamoci allora il secondo problema: è il Gdpr – ritenuto dallo stesso Mark Zuckerberg un buon modello di regolamentazione di internet, il che già dovrebbe indurci al sospetto – una normativa efficace? Vien fatto di dubitarne. Come tutta la normativa europea, il Gdpr è troppo specifico su certi aspetti, finendo per alimentare il fenomeno da me chiamato “nozze di digitale e burocrazia”, e troppo generico su altri, fra i quali la diffusione di dati sanitari a fini di studio e di ricerca, come denuncia giustamente Celeste Cagnazzo.
D’accordo, se si autorizza tale diffusione a titolo di eccezione, l’eccezione diverrà fatalmente la regola – come avverrebbe comunque. Ma è tutto il sistema a risultare complessivamente inefficace, se non insensato. A una persona normale, mediamente impegnata, non passerà mai per la testa di dire no alla diffusione dei propri dati, se questo comporterà un solo secondo in più passato a compilare moduli, richieste di ulteriori username, password e pin, scarico di ennesime app, e simili. Basta, diffondete pure tutti i dati che volete, ma lasciateci in pace – è questo l’appello che sale dal profondo della rete.
L’eticità delle uniche regolamentazioni efficaci di internet consiste nel rispetto di quel che internet è: in una battuta, la prosecuzione delle nostre vite con altri media.
Le soluzioni, come ipotizzo nell’epilogo del secondo libro, non stanno nella minuziosa regolamentazione della rete, tipo Dpcm per intendersi, ma in controlli a monte e a valle. A monte, come ci ha insegnato Lawrence Lessig, nel controllo sulla progettazione degli algoritmi che poi regoleranno le nostre vite. “Code is the lawv”: tutti i problemi di violazione della privacy vanno prevenuti e non curati, quando i buoi digitali saranno scappati dalla loro stalla informatica. A valle, invece, la soluzione sta nel ricorso, residuale e rimediale, a call center umani, formati da persone che parlano la nostra lingua, authorities della porta accanto, e in ultimissima istanza a polizia postale e giudici, ove mai la violazione della privacy si riveli economicamente, penalmente e magari anche moralmente rilevante.
Moralmente, già: perché solo qui, a questo punto ed entro questi limiti, si pone il terzo problema, l’eticità della normativa in materia di privacy su internet: il rispetto di una morale individualmente soggettiva ma collettivamente oggettiva. Un’altra volta, se volete, ne parliamo più diffusamente. Ma l’eticità delle uniche regolamentazioni efficaci di internet – gli interventi a monte e a valle, non certo il Gdpr, segnato dallo stesso moralismo minuzioso e politicamente corretto tipico dei burocrati di Bruxelles – consiste nel rispetto di quel che internet è: in una battuta, la prosecuzione delle nostre vite con altri media.
© 