Per quanto ne sappia io, l'anonimizzazione *totale* e' di difficilissima realizzazione (da un punto di vista tecnico e considerando il fatto che i dati "anonimizzati" possono essere analizzati e correlati con dati disponibili in altri database, anche pubblici). Quindi, basarsi solo sull'anonimizzazione (parziale) e', a mio avviso, estremamente pericoloso. Molto piu' oppoftuno sarebbe richiedere il consenso esplicito. Meglio ancora, non "riutilizzare" i dati sanitari per scopi diversi da quello per i quali sono stati creati (no function creeping ...) D. Latella

Message: 2 Date: Tue, 05 Dec 2017 19:03:11 +0100 From: "Alessandro Mantelero" <alessandro.mantelero@polito.it> To: "Stefano Leucci" <stefanoleucci@gmail.com>, "avv. Monica A. Senor" <senor@penalistiassociati.it> Cc: NEXA_lista <nexa@server-nexa.polito.it> Subject: Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia" Message-ID: <web-15511261@backmail1.polito.it> Content-Type: text/plain;charset=utf-8; format="flowed"

Questo il testo della norma in questione, da cui credo si debba partire:

[... OMISSIS ...]

Ad una prima lettura risulta tuttavia non facile cogliere il senso della disposizione, perché fa riferimento a dati anonimizzati, che quindi - in quanto tali - sono fuori dall?ambito operativo delle disposizioni in materia di data protection.

Non a caso l?art. 89 del Regolamento (EU) 2016/679 (GDPR) concerne dati personali o pseudonimizzati (non anonimi o anonimizzati) e per questi prevede eccezioni.

Se dunque il riuso è subordinato alla condizione che ?siano adottate forme preventive [?] di anonimizzazione?, ne consegue che questi sono dati anonimi, esclusi così dall?ambito operativo sia della normativa nazionale che di quella comunitaria. Non a caso i dati genetici sono esclusi, così come dovrebbero esserlo i biometrici per evidenti limiti di procedere all?anonimizzazione degli stessi.

Stante il testo, il senso attribuibile alla norma viene dunque ad essere quello di prevedere un intervento del Garante a garanzia dell?adozione di un livello adeguato di anonimizzazione, in linea con il GDPR, che non considera più il binomio dati personali/dati anonimi come un bianco/nero.

Un saluto,

Alessandro

-- Alessandro Mantelero Politecnico di Torino http://staff.polito.it/alessandro.mantelero | @mantelero