Blockchain in ambito medico-sanitario e privacy

Il settore sanitario e la ricerca scientifica collegata sono i settori in cui maggiormente si esprime la delicatezza del rapporto tra utilizzo dei dati personali e privacy. Ciò anche in relazione all’uso sempre più massiccio e massivo dei dati – che acquisiscono valore proprio in relazione alla “massa quantitativa” trattata e valutata – e della loro “finezza” intesa come capacità di ridurre al minimo-fine il dato tratto all’interno di un insieme macro.

Ciò è emerso in maniera significativa sia in sede di modifica dell’art. 110 del Codice Privacy e nel DDL sull’intelligenza artificiale, sia nel dibattito scaturito immediatamente dopo, sottolineando i grandi vantaggi per la ricerca scientifica, ma sollevando e analizzando i relativi dubbi e problemi, soprattutto – argomento tra i meno affrontati – in relazione all’utilizzo delle banche dati da parte delle aziende private (da un lato un dato di enorme valore economico, dall’altro il tema dell’utilizzo gratuito da parte dei privati impegnati nella ricerca).

Il punto più importante della ricerca scientifica è la condivisione di dati tra le diverse società, pubbliche e private, ma questa condivisione non è cosi agevole.

In primis, ci sono le problematiche legate al tema della privacy, ma il nodo probabilmente più spinoso è dato dal fatto che i sistemi informatici delle diverse società non dialogano tra di loro, rendendo la condivisione dei dati sempre più difficile e lenta.

Infine, almeno a limare è parzialmente la questione privacy, vi è il fatto che quello che assume maggiore interesse on è quasi mai il dato “personale” inteso come individuale – dove più pregnante è il tema della privacy – quanto il dato macro, inteso come l’insieme dei dati complessivi di categorie di persone, e quanto è più questo macro è molteplice tanto più assume valore.

Una possibile soluzione che è stata proposta per affrontare questi problemi è l’utilizzo della blockchain.

La blockchain rappresenta una tecnologia, o meglio un insieme di tecnologie, in cui il registro è strutturato come una catena di blocchi contenenti i dati e la cui validazione è affidata ad un severo meccanismo di consenso, suddiviso su tutti i nodi della rete.

Quindi, sostanzialmente la Blockchain è un database distribuito per la gestione di transazioni (passaggi) crittografate ed è aperta a tutti, ed è composto da una serie di blocchi che archiviano un insieme di dati validati dai nodi della catena.

La catena è composta da nodi, transazioni, blocchi, ledger/registri, funzioni di hash, e verificata la loro correttezza, vengono archiviate su tutti i nodi della blockchain, che a sua volta si regge sull’utilizzo di diverse tecnologie, tra cui Database distribuito, Funzioni di hash, Crittografia asimmetrica e Timestamping.

Le Distributed Ledger Technology (o DLT) si definiscono come un insieme di sistemi caratterizzati dal fatto di riferirsi a un registro di tipo diffuso, governato in modo da consentire l’accesso e la possibilità di effettuare modifiche da parte di più nodi di una stessa rete. I dati presenti nella blockchain sono sottoposti ad un meccanismo di firma a doppia chiave asimmetrica che serve per criptare i dati.

Le DLT prevedono, pertanto, un sistema di validazione a sua volta distribuito tra i nodi, basato sempre sul concetto di consenso: in questo caso per consenso si intende la validazione/verifica da parte di tutti i partecipanti alla blockchain. Una volta chiuso un blocco, questo verrà inserito in ordine cronologico ai blocchi precedenti in modo tale da creare la catena. Il blocco si chiude nel momento in cui viene risolto l’algoritmo da parte dei partecipanti al blocco.

Ogni blocco è dotato di un header, necessario per organizzare il registro distribuito. Ogni header è composto da un hash di tutte le transazioni registrate nel blocco, dalla marcatura temporale e dall’hash del blocco precedente.

Ogni blocco memorizza anche l’hash dell’intestazione (header) del blocco precedente, concatenando i blocchi. Ciò garantisce che una transazione non possa essere modificata senza modificare il blocco che la registra e tutti i blocchi successivi.

Tramite la presenza dell’hash all’interno dell’header è possibile ricostruire cronologicamente la catena dei blocchi (grazie alla marcatura temporale).

In generale, e semplificando, si possono distinguere tre grandi categorie di blockchain: Pubblica, Ibrida, Privata.

Qualunque sia la tipologia di blockchain che uno o più soggetti intendono utilizzare, ci si attende che i prossimi sviluppi portino alla creazione di una prossima generazione di blockchain dotata di interoperabilità, che consenta ad ogni singola blockchain di dialogare con un’altra, in tal modo incoraggiando lo scambio di dati e realizzando una sorta di consociazione di blockchain.

I sostenitori di questo approccio tecnologico sostengono che questa tecnologia potrebbe portare importanti benefici nel settore sanitario in quanto la blockchain potrebbe essere estremamente utile per migliorare l’efficacia nella trasmissione dei dati anonimizzati e la comunicazione delle sperimentazioni cliniche nel settore della sanità, che consentono lo scambio di dati digitali tra istituzioni pubbliche e private sotto il controllo dei cittadini/pazienti.

La stessa tecnologia consente ai cittadini di controllare i propri dati sanitari e di beneficiare della trasparenza in tale ambito, nonché di scegliere quali dati condividere, anche per quanto riguarda il loro utilizzo da parte delle compagnie di assicurazione e dell’ecosistema sanitario in senso lato.

Ovviamente questi vantaggi possono riguardare tutti i settori della sanità, pubbliche e private, ma anche per i pazienti in quanto è una tecnologia che presenta dei sistemi di sicurezza talmente elevati che rendono improbabile un trattamento illecito dei dati.

È opportuno che, per tali tecnologie di registro, si affrontino adeguatamente anche le problematiche attinenti proprio al settore della protezione dei dati personali dove il Regolamento europeo n. 2016/679 ha introdotto importanti principi come quello di accountability o il principio della privacy by design che diventa fondamentale con riferimento alla blockchain.

In quest’ottica le prime criticità risulterebbero essere legate all’esercizio dei diritti dell’interessato, in particolar modo nel momento della cancellazione dei dati o la modifica dei dati presenti all’interno della catena.

La difficoltà è data proprio dalla struttura della blockchain che non permette modifiche all’interno di un blocco senza andare a modificare l’intera catena.

Un’altra problematica è legata all’individuazione del titolare del trattamento, e quindi anche di chi deve fornire l’informativa, ma anche di chi sia il soggetto titolare del diritto/dovere di modificare o cancellare il dato.

C’è chi sostiene che i dati presenti all’interno della blockchain siano anonimi (data la tecnologia utilizzata) e quindi non soggetti al GDPR, ma non è proprio cosi.

Nell’opinione n. 4/2014, il WP29 ha specificato che ricorre l’anonimizzazione solo quando vengono trattati i dati personali al fine di impedire in maniera irreversibile l’identificazione dell’interessato.

In questo caso, in realtà si dovrebbe parlare di dati pseudonimizzati, in quanto basta conoscere la chiave privata per la decriptazione per poter visionare i dati presente all’interno della catena.

Quindi si tratta comunque di dati personali soggetti ai principi del GDPR.

In conclusione sembrerebbe che – a rigore di stretta lettura interpretativa – anche la blockchain non sia pienamente privacy compliant, ma essendo una tecnologia altamente sicura, alcune di queste criticità potrebbero essere comunque parzialmente risolte.