La fonte primaria, dalla quale poi la notizia sta rimbalzando da qualche ora un pò in tutto il mondo (e data la gravità della situazione difficilmente potrebbe essere altrimenti) è stata il Wall Street Journal: un breve reportage del quotidiano di New York rivela infatti l'esistenza di un progetto segreto molto particolare, condotto da Big G e soprannonimato "Project Nightingale", volto all'accumulazione di dati sanitari provenienti dalle cartelle cliniche di pazienti sparsi per l'intero territorio statunitense. Il progetto è condotto da Google in collaborazione con l'operatore sanitario no-profit Ascension, che gestice oltre 150 strutture sanitarie in 20 stati e nel Distretto di Columbia: operatore che, forse non serve specificarlo, ha accesso ai dati di milioni di pazienti.

Tra i dati raccolti, oltre a nome, cognome e data di nascita di ogni singolo paziente, ci sono risultati di laboratorio, diagnosi mediche, registri di ospedalizzazione.. insomma l'intera storia sanitaria dei pazienti che hanno avuto accesso alle strutture in cui opera Ascension è finita nelle mani di Google e sicuramente è, ad ora, accessibile da almeno 150 dipendenti di Google. L'accordo tra Google e Ascension prevede perfino che tali dati debbano essere spostati sulla piattaforma in cloud di Google per facilitare le comunicazioni tra ospedali, rendendo possibile a qualsiasi fornitore di servizi medici di effettuare ricerche online sulla storia medica di qualsiasi paziente. L'intento finale sarebbe, cioè, quello di costruire un unico archivio coi dati sanitari completi dei pazienti di oltre 2600 strutture, stando almeno alla nota pubblicata da Ascension sull'accendersi delle polemiche.

Peccato che nessuno, né Ascension né tantomeno Google, si sia occupato di informare né i medici né i pazienti, meno che mai di sottoporre ad ognuno di loro le necessarie informative volte ad informare i proprietari dei dati delle finalità di utilizzo, delle modalità di trattamento e della durata del trattamento. Una violazione palese e chiara del GDPR europeo, che ribadisce l'importanza del consenso e dei diritti degli Interessati (sopratutto ad essere correttamente e pienamente informati). Certo, i diretti interessati si rifugiano sulla della legge federale statunitense sulla portabilità dei dati, risalente al 1996: tale legge infatti consente la condivisione di informazioni sanitarie con i partner commerciali fintanto che sono funzionali ad offrire servizi e cure mediche... e da questo punto di vista nessuna violazione. Ma occorrerebbe spiegare a Google ed Ascension che il regolamento parla chiaro e l’interessato ha il diritto di essere informato anche se vi è o vi può essere in futuro una portabilità ed avere di conseguenza il diritto ad opporsi. Riflettendoci bene, ai fini statistici, un campione di pazienti e i loro dati clinici hanno un enorme valore; il solito campione al netto di chi non ha dato il consenso ha un valore pari a zero perché non è attendibile.

Le critiche, ovviamente, non si sono fatte attendere: non solo da "soggetti terzi" rispetto ai due big in gioco, ma anche da alcuni dipendenti stessi di Ascension che hanno rivelato ai giornalisti del Wall Street Journal di avere forti perplessità sul modo in cui sono stati raccolti e condivisi questi dati "sia dal punto di vista tecnologico che etico". Dalle colonne del Guardian invece un whistleblower (non sappiamo se dipendente di Google o di Ascension, ma comunque coinvolto nel Progetto Nightingale), risoluto nel rendere pubbliche finalità e modalità di tale progetto, ha affermato che sono in ballo i dati di oltre 50 milioni di americani. L'intero passaggio dei dati gestiti da Ascension nell'infrastruttura in cloud di Google dovrebbe terminare il prossimo Marzo, mentre, ad ora, sono stati già trasferiti i dati di 10 milioni di pazienti.

• E Google finisce sotto inchiesta

Roger Severino, a capo dell' "Office for Civil Rights" del "Department of Healt e Human Services" ha avviato un'inchiesta sull'accordo tra Google e Ascension per verificarne l'effettiva conformità alle leggi federali e nazionali sulla privacy e la protezione / portabilità dei dati. Sopratutto, ha spiegato Severino, sarà verificata l'effettiva implementazione delle misure di sicurezza previste dall'HIPAA, ovvero "l'Healt Insurance Portability and Accountability Act del 1996".

• Perchè raccogliere dati medici?

È un trend in forte crescita quello della raccolta di dati sanitari e sono già molte le aziende tecnologiche che hanno imboccato questa strada: Amazon e Apple in testa. L'accordo tra Ascension e Google rappresenta un ulteriore passo di Big G. nel settore della raccolta dei dati sanitari e fa il paio con l'annuncio dell'acquisto di Fitbit, azienda che vale 2 miliardi di dollari e produce dispositivi indossabili e investe nella "digital healt". Lo scopo è ovviamente "dare in pasto" questa giagntesca mole di dati ad intelligenze artificiali dotate di funzionalità di machine learning, il cosiddetto autoapprendimento. E se, ovviamente, le grandi aziende spiegano che questo enorme processo di raccolta di dati sanitari servirà a migliorare la capacità diagnostica e predittiva, dall'altra parte c'è chi grida al possibile utilizzo a fini di profitto di queste raccolte, oltre che alla violazione della privacy del soggetto. Ad esempio, già nel 2017 Google ha subito il primo stop, quando il Garante per la protezione dei dati inglese riscontrò "inappropriate basi legali" nell'accordo tra Google e il Royal Free Hosiptal di Londra per la trasmissione dei dati di oltre 1.6 milioni di pazienti nell'intelligenza artificiale DeepMind Healt

Infine, problema non secondario e anzi sempre più centrale che non smetterò mai di evidenziare, è la questione della tutela e protezione di questi dati, in un contesto in cui i sistemi informatici sembrano sempre più fragili di fronte ad un cyber crimine rampante e sempre all'avanguardia.