Usa, bufera su Google: ha comprato i dati sanitari di 50 milioni di persone

Project Nightingale è il nome con cui viene indicato il trasferimento segreto dei dati medici personali di un massimo di 50 milioni di americani da uno dei maggiori fornitori di assistenza sanitaria negli Stati Uniti a Google. A rivelare la notizia è il Guardian, sulla base di una “gola profonda” che lavora al progetto. L’anonimo informatore ha pubblicato un video sulla piattaforma di social media Daily Motion che contiene una cartella di documenti con centinaia di immagini di file riservati relativi a Project Nightingale. Lo schema segreto, segnalato per la prima volta dal Wall Street Journal, prevede il trasferimento a Google dei dati sanitari detenuti da Ascension, il secondo più grande fornitore di assistenza sanitaria negli Stati Uniti. I dati vengono trasferiti con tutti i dettagli personali tra cui nome e anamnesi e sono accessibili dallo staff di Google. A differenza di altri dati simili, non sono stati resi anonimi attraverso un processo di rimozione di informazioni personali noto come disidentificazione. Il whistleblower introduce il video con le parole: “Devo parlare delle cose che stanno accadendo dietro le quinte”.

La gola profonda

I documenti divulgati includono profili altamente confidenziali di Project Nightingale, che delineano le quattro fasi o “pilastri” del progetto segreto. “Quando il trasferimento sarà completato il prossimo marzo, avrà trasmesso a Google i dati personali di 50 milioni o più pazienti in 21 stati, con circa 10 milioni di file già trasferiti, senza che sia stato dato alcun avviso a pazienti o medici” scrive il Guardian. Tra i documenti ci sono le note di un incontro privato tenuto dagli agenti di Ascension coinvolti nel Project Nightingale. In esso, sollevano serie preoccupazioni sul modo in cui le informazioni sulla salute personale dei pazienti verranno utilizzate da Google per costruire nuove intelligenze artificiali e altri strumenti.

Preoccupazione degli stessi dipendenti

Le note affermano che un dipendente “ha espresso preoccupazione per le persone che scaricano i dati dei pazienti – è necessario assicurarsi che tutti siano addestrati a non farlo”. Secondo l’informatore, i timori per la sicurezza sollevati durante tale riunione, comprese le preoccupazioni che il trasferimento potrebbe violare le norme federali HIPAA sulla privacy dei dati, finora non hanno ricevuto risposta da Google. Project Nightingale è considerato di gran lunga il più grande trasferimento di dati nel suo genere nel settore sanitario. Coprirà l’intero data base dell’Ascension, una rete cattolica di 2.600 ospedali, cliniche e altri punti medici. Google ha stretto accordi simili su scala molto più ridotta con clienti come il Colorado Center for Personalized Medicine. Ma in quel caso tutti i dati consegnati al colosso della ricerca erano crittografati, con le chiavi mantenute solo dal lato medico.

La difesa di Google e Ascension

L’accordo tra Google e Ascension per proseguire con il trasferimento dei dati è stato formalmente firmato poche ore dopo che il Wall Street Journal ha rivelato l’affare. In un’intervista con il Guardian, il portavoce anonimo di circa 300 dipendenti, metà di Google e metà di Ascension, ha spiegato la decisione di rendere pubblica la storia, citando l’ansia diffusa tra i dipendenti di Project Nightingale sulla segretezza del trasferimento e su come a Google è stato concesso l’accesso alle informazioni personali di milioni di pazienti. “Il whistleblower ha anche espresso preoccupazione per il fatto che una grande azienda tecnologica abbia accumulato così tanti dati sensibili e potenzialmente preziosi. Google potrebbe continuare a utilizzare le sue analisi AI per prevedere i risultati per i singoli pazienti, hanno ipotizzato” scrive il quotidiano inglese, che cita anche un precedente. Nel 2017, il trasferimento di 1,6 milioni di cartelle cliniche presso il Royal Free Hospital di Londra al braccio di intelligenza artificiale dell’azienda DeepMind Health ha trovato una “base giuridica inappropriata” da parte dell’autorità inglese della privacy.

Il perché degli interessi di Google in questo settore?

Ma perché Google sta investendo così tanto in questo settore?  L’ambizione è quella di sviluppare nuovi strumenti di intelligenza artificiale che possano aiutare a prevedere i modelli di salute e migliorare le cure. Google ha recentemente annunciato l’intenzione di acquistare Fitbit per $ 2,1 miliardi, con l’obiettivo di entrare nel mercato dei dispositivi indossabili e investire nella salute digitale. Google e Ascension hanno rilasciato dichiarazioni sulla scia della divulgazione di Project Nightingale, insistendo sul fatto che sia conforme all’HIPAA e a tutte le leggi federali sulla salute. Google Cloud ha dichiarato al Wall Street Journal che l’obiettivo era “in definitiva migliorare i risultati, ridurre i costi e salvare vite umane”. Ascension ha dichiarato: “Tutto il lavoro relativo all’impegno di Ascension con Google è conforme a HIPAA e sostenuto da un solido impegno di sicurezza e protezione dei dati e aderenza ai severi requisiti di Ascension per la gestione dei dati”. L’informatore commenta: “Ai pazienti non è stato detto in che modo Ascension utilizza i propri dati e non hanno acconsentito al trasferimento dei dati sul cloud o all’utilizzo da parte di Google. Per lo meno i pazienti dovrebbero essere informati ed essere in grado di dare e negare il consenso”.

L’inchiesta del Salvagente in Italia

Sull’argomento, nel numero dello scorso ottobre del Salvagente, il servizio a firma di Massimo Solani, parlava di Iqvia, una multinazionale di servizi di analisi dei dati sanitari che ha siglato accordi con molti ospedali e Asl in Italia. Con una possibilità: rivendere le informazioni a società terze.