Perché i nostri dati sanitari sono così ambiti?


I dati medici sono diventati "oro nero" sia per i ricercatori che per i criminali informatici. La giornalista Coralie Lemke crede che il suo uso possa portare a progressi medici, a condizione che sia gestito correttamente.

Furto massiccio

L'Assistance publique-Hôpitaux de Paris (AP-HP) ha detto mercoledì 15 settembre che i dati personali di circa 1,4 milioni di pazienti sono stati rubati in un attacco informatico durante l'estate.

A febbraio, 500.000 cartelle cliniche sono state violate. Sempre più istituzioni sanitarie sono prese di mira dai criminali informatici. Perché i nostri dati sanitari sono così ambiti e chi è interessato ad essi? Dovremmo preoccuparci che diventino più accessibili sia ai ricercatori che agli hacker?

 

Queste domande sono state poste a Coralie Lemke, giornalista sanitaria di Sciences et Avenir e autrice di Ma Santé, Mes données (Premier Parallèle).

D: Quando parliamo di "dati sanitari", cosa intendiamo esattamente?

Coralie Lemke: In Francia, c'è una definizione molto precisa di dati sanitari formulata dalla Commissione nazionale per l'informazione e le libertà (CNIL). Sono tutte le informazioni raccolte nel contesto di un trattamento, un test o un esame, così come tutte le informazioni sullo stato fisiologico e biomedico di una persona.

"In parole povere, sono informazioni sullo stato di salute passato, presente o futuro di una persona".

Le informazioni raccolte da oggetti in rete (contapassi, orologi e bilance in rete, app di monitoraggio del sonno, ecc.) sono considerate dati sulla salute solo se incrociate con altre informazioni mediche. Quindi, se da un'app so che dormo tre ore a notte, questo non dice molto sulla mia salute. Tuttavia, se si sa anche che ho una prescrizione di antidepressivi, si può dedurre che soffro di una malattia mentale. Questo è il caso se la CNIL considera che queste informazioni sono dati sanitari in senso stretto.

Il monitoraggio della nostra salute è sempre più effettuato dai computer.

Come ha influito la digitalizzazione sui dati sanitari?

Ha reso la cura e il monitoraggio del paziente molto più facile. Oggi, tutto in ospedale e nell'ufficio del medico è memorizzato su un computer. Le nostre radiografie e risonanze magnetiche sono digitalizzate, e ogni volta che si scansiona la tessera sanitaria, si generano dati sanitari.

La digitalizzazione ha anche fatto progredire molto la ricerca permettendo l'analisi di "pile di dati sanitari" [registri di diverse centinaia o migliaia di pazienti]. Era difficile accedere a queste informazioni quando erano su carta.

Il lato negativo è che questi dati sono più vulnerabili. È diventato più accessibile agli operatori sanitari, ma anche a una serie di parti interessate.

Perché questi dati sanitari sono così ricercati oggi?

In primo luogo, è importante ricordare che una singola informazione è di scarso interesse per molte persone: conoscere il gruppo sanguigno di una persona è di scarsa utilità. D'altra parte, i dati sanitari aggregati su diverse migliaia o milioni di individui sono considerati un vero e proprio "oro nero" perché il loro studio permette di fare progressi nella ricerca.

Queste informazioni sono interessanti per tre tipi di attori. Il primo è quello delle aziende farmaceutiche, che devono passare attraverso numerose fasi e studi clinici per sviluppare terapie. Questo processo è molto lungo e costoso, ma va molto più veloce quando si iniziano ad analizzare i lotti di dati. Per ottenere questi dati, i laboratori si rivolgono a "broker di dati" specializzati nella ricerca di dati. Questi broker hanno il compito di contattare e collaborare con le strutture sanitarie per ottenere dati anonimizzati.

Il secondo tipo di giocatori sono i Gafam (Google, Apple, Facebook, Amazon e Microsoft), che sono interessati a questo campo per ragioni commerciali. Offrono le loro competenze tecnologiche alle università o ai centri di ricerca che cercano algoritmi per elaborare questi dati. Uno studio ha dimostrato che l'intelligenza artificiale sviluppata da Google è più accurata dei radiologi nel rilevare il cancro al seno.

L'ultimo tipo di attori sono, naturalmente, i criminali informatici. Il loro obiettivo è quello di entrare nelle strutture sanitarie per recuperare i dati sanitari e poi venderli sul dark web o estorcere un riscatto. Nell'ottobre 2020, almeno 2.000 pazienti finlandesi hanno ricevuto una e-mail che minacciava di pubblicare i dettagli del loro trattamento psicologico su Internet a meno che non pagassero diverse centinaia di euro, dopo che i dati di una rete di centri di psicoterapia sono stati violati.

Quindi i nostri dati sanitari sono diventati un obiettivo primario per i criminali informatici?

Sì, e questo fenomeno è stato esacerbato dalla pandemia del Covid 19: tra febbraio e marzo 2020, c'è stato un aumento del 475% degli attacchi agli ospedali in Francia, secondo la società di cybersecurity Bitdefender. Alcuni criminali informatici avevano promesso una tregua all'inizio della crisi sanitaria, ma non è durata a lungo: hanno presto capito che le strutture sanitarie erano ancora più vulnerabili in questo periodo.

"In totale, ci sono stati 192 cyberattacchi agli ospedali in Francia nel 2020, in aumento rispetto ai 54 dell'anno precedente".

Le strutture sanitarie sono particolarmente prese di mira dai criminali informatici perché sono sensibili ai computer. Le attrezzature sono spesso obsolete e la protezione dei computer non è aggiornata. Di conseguenza, sono bersagli facili, e le conseguenze possono essere catastrofiche. Nel 2017, il ransomware WannaCry [un virus maligno che blocca l'accesso ai file in cambio di un riscatto] ha paralizzato il servizio sanitario nazionale del Regno Unito (NHS). Come risultato, milioni di appuntamenti medici e interventi chirurgici hanno dovuto essere cancellati, il che ha significato la perdita della vita per alcuni pazienti.

I dati sanitari rappresentano un'enorme manna finanziaria per questi criminali informatici. EY stima che i 55 milioni di cartelle cliniche dei cittadini britannici valgono 9,6 miliardi di sterline, o più di 11 miliardi di euro. Il valore di un singolo dossier può salire a 5.600 euro se include il sequenziamento del DNA di quella persona. (Vedere l'allegato alla fine)

Perché i dati genetici sono particolarmente ricercati?

Non tutti i dati sulla salute hanno lo stesso valore: la genetica è il Santo Graal. Il nostro DNA è la chiave della nostra identità e contiene informazioni cruciali sul nostro aspetto, la nostra predisposizione a certe malattie, ecc. Ecco perché questi dati sono così preziosi.

Le aziende che offrono test genetici della saliva al pubblico per scoprire di più sulla loro ascendenza lo capiscono. La maggior parte della gente non legge la stampa fine che dice che questi dati possono essere rivenduti. Nel 2018, il gruppo 23andme ha firmato un contratto da $300 milioni con il laboratorio GSK per 5 milioni di profili genetici anonimizzati. L'obiettivo di questa partnership è lavorare allo sviluppo di trattamenti per il morbo di Parkinson, ma questo solleva questioni di sicurezza e privacy.

Come sono protetti i dati sanitari in Francia?

Sono soggetti al regolamento generale sulla protezione dei dati (GDPR), che regola il trattamento dei dati personali in Francia e in Europa dal 2018. Il consenso esplicito della persona interessata è necessario per la raccolta e il trattamento dei dati sanitari. Il RGPD vieta anche il trasferimento dei dati al di fuori dell'Unione europea. Si tratta di protezioni che non esistono in altri paesi, come gli Stati Uniti, e impediscono a Google, per esempio, di raccogliere i dati sui nostri appuntamenti medici nelle nostre e-mail e poi rivenderli a terzi.

È possibile rafforzare queste misure di protezione?

Come individui, non c'è molto che possiamo fare. Si può cercare di non mettere troppe informazioni personali online, ma è solo una goccia nell'oceano dei dati. Nel mondo di oggi, è particolarmente complicato. Per esempio, si stima che due terzi dei francesi abbiano un account su Doctolib, il che è logico perché è uno strumento comodo per prendere appuntamenti medici. Finché non siamo rimborsati, siamo tenuti a compilare la nostra "carte vitale" (e quindi a fornire dati sulla nostra salute) ogni volta che riceviamo un trattamento.

"Quindi, per proteggere i nostri dati sanitari, abbiamo bisogno di un sistema di leggi complete e robuste che regolino la raccolta e l'uso di quei dati, come il RGPD".

Ma queste leggi devono essere applicate. I reclami sul RGPD sono tutti gestiti dalla CNIL irlandese, che regola il Gafam a livello europeo. Tuttavia, l'ente riceve così tanti reclami che il 99,93% di essi non viene trattato. Questo è estremamente scoraggiante. Qui possiamo ancora migliorare la protezione dei dati sanitari.

Un altro esempio della vigilanza che dobbiamo mostrare su questi temi è l'Health Data Hub. Alla fine del 2019, il governo francese ha deciso di creare un'enorme biblioteca di dati sanitari. L'idea è quella di riunire tutti i dati che già esistono - dati ospedalieri, dati delle assicurazioni sanitarie - su un'unica piattaforma per permettere ai team di ricerca di accedervi e trovare nuovi percorsi terapeutici o nuovi trattamenti.

Quando si è trattato di trovare un host approvato per i dati sanitari che soddisfacesse certi requisiti tecnologici e di sicurezza per gestire questo database, che è uno dei più grandi del mondo, è stata scelta Microsoft. Il problema è che si tratta di un'azienda soggetta alla legge degli Stati Uniti. In particolare, c'è una legge negli Stati Uniti, il Cloud Act, che permette il trasferimento di dati dalle filiali straniere di una società nel contesto di un procedimento legale. In breve, Microsoft può teoricamente recuperare i dati sanitari dei cittadini francesi e trasferirli attraverso l'Atlantico, il che viola assolutamente il RGPD. La Francia è in fase di riadattamento del progetto, ed è probabile che sarà assegnato a un altro giocatore entro la fine del 2022.

Dovremmo quindi preoccuparci che i nostri dati sanitari siano sempre più sfruttati?

I dati sanitari sono abbastanza paradossali: sono molto intimi e appartengono alla sfera privata, ma quando sono riuniti possono servire al bene comune. La medicina è già stata rivoluzionata dall'uso dei dati sanitari. La Food and Drug Administration (FDA) degli Stati Uniti ha approvato l'uso dell'intelligenza artificiale per diagnosticare la retinopatia diabetica, una delle principali cause di cecità negli adulti. Basta una foto per rilevarla, cosa che è stata resa possibile dall'analisi dei dati sanitari.

Lo studio di questi dati può anche aiutarci a capire meglio perché certi tumori rispondono a certi trattamenti e altri no, a far progredire la ricerca sulle malattie neurodegenerative che sono ancora poco comprese, come l'Alzheimer, o anche a trovare trattamenti per malattie rare che colpiscono solo poche persone in ogni paese. Senza digitalizzare e studiare queste informazioni mediche, sarebbe impossibile raccogliere informazioni su poche migliaia di pazienti sparsi per il mondo. Quindi l'uso dei dati sanitari può essere molto utile, purché sia adeguatamente regolato dalla legge.

Allegato

Realizzare il valore dei dati sanitari