L'Autorità danese per la protezione dei dati, Datatilsynet, ha emesso 31 decisioni di enforcement GDPR nel 2024, di cui 14 specificamente riguardanti i sistemi di dati sanitari — una concentrazione che riflette l'alta posta in gioco dell'infrastruttura nazionale sanitaria danese e i fallimenti tecnici che espongono ripetutamente i dati dei pazienti.
Numero CPR: Il Requisito Modulus-11
Il numero CPR (Det Centrale Personregister-nummer) — 10 cifre, formato DDMMYY-XXXX — codifica la data di nascita (cifre 1-6) e un numero sequenziale con cifra di controllo (cifre 7-10). L'ultima cifra è validata utilizzando l'aritmetica del modulo-11:
Controllo modulo-11: moltiplica le cifre 1-9 per i pesi (4,3,2,7,6,5,4,3,2), somma, prendi il modulo 11. Se il risultato è 0, la cifra di controllo = 0. Se il risultato è 1, il CPR è non valido (non esiste una cifra di controllo valida per questo prefisso). Altrimenti, la cifra di controllo = 11 meno il risultato.
Questo crea la proprietà importante che alcuni schemi DDMMYY-XXXX non possono mai essere numeri CPR validi (quelli in cui il calcolo del modulo-11 produce 1). Gli strumenti che abbinano schemi di numeri a 10 cifre formattati come DDMMYY-XXXX senza validazione del modulo-11 generano falsi positivi da stringhe di data, numeri di riferimento e codici di fattura.
Il 67% degli strumenti NLP generici manca dell'implementazione del modulo-11 per il CPR (Datatilsynet 2024). Questo fallimento di rilevamento è la singola inadeguatezza tecnica più citata nelle azioni di enforcement nel settore sanitario di Datatilsynet.
Ecosistema di Ricerca sui Dati Sanitari in Danimarca
I registri sanitari danesi — tra i dataset longitudinali di salute più completi al mondo — sono collegati attraverso il numero CPR. Il CPR consente ai ricercatori di collegare:
- Registri di dimissione ospedaliera (dal 1977)
- Database delle prescrizioni (dal 1995)
- Registro dei tumori (dal 1943)
- Registro delle cause di morte (dal 1970)
- Dati di diagnosi di assistenza primaria (dal 1990)
Questa collegabilità rende la ricerca sanitaria danese di livello mondiale ma crea un rischio di re-identificazione che Datatilsynet prende sul serio: anche i dataset "de-identificati" che mantengono attributi collegati al CPR (età, sesso, diagnosi, anno) possono essere re-identificati in combinazione con altri dataset.
Le linee guida di Datatilsynet del 2024 sull'uso secondario dei dati sanitari richiedono che le organizzazioni che utilizzano questi registri dimostrino:
Documentazione tecnica di anonimizzazione: Non una dichiarazione politica, ma documentazione tecnica che mostra esattamente quali identificatori sono stati rimossi, quali quasi-identificatori sono stati generalizzati e quale livello di k-anonimato è stato raggiunto nel dataset di output.
Validazione di terze parti per i dataset di ricerca: Per i dataset di ricerca con più di 5.000 individui, Datatilsynet raccomanda una revisione tecnica indipendente delle procedure di anonimizzazione.
Minimizzazione dei dati: L'ambito del dataset di ricerca deve corrispondere alla domanda di ricerca documentata. Datatilsynet ha trovato più casi in cui i ricercatori hanno utilizzato registri nazionali completi quando un campione casuale o un dataset geograficamente limitato avrebbe soddisfatto lo scopo della ricerca.
Risultati Specifici delle Azioni di Enforcement nel Settore Sanitario
Le 14 decisioni di enforcement nel settore sanitario di Datatilsynet nel 2024 documentano ripetuti fallimenti tecnici:
Pattern di caso 1: L'ospedale condivide un dataset di pazienti de-identificato con un partner di ricerca accademica per l'addestramento dell'IA. Il dataset contiene componenti della data di nascita CPR, codici di diagnosi e date di trattamento. Datatilsynet scopre che la combinazione consente la re-identificazione di pazienti con malattie rare (problema del piccolo denominatore — diagnosi insolite restringono significativamente l'identificazione).
Pattern di caso 2: Una startup di tecnologia sanitaria elabora dati di pazienti danesi tramite un'API di IA basata negli Stati Uniti per supporto alla documentazione clinica. I numeri CPR nelle note mediche vengono trasmessi a server statunitensi senza un adeguato meccanismo di trasferimento e senza previa rilevazione e rimozione del CPR.
Pattern di caso 3: Una compagnia di assicurazione elabora dati di certificati medici per richieste di invalidità. I numeri CPR nei certificati PDF scansionati non vengono rilevati dal pipeline OCR-plus-extraction della compagnia (l'OCR converte l'immagine in testo; il testo viene elaborato ma senza validazione CPR, molti numeri CPR vengono persi nell'output OCR a causa di artefatti di formattazione).
Il modo di fallimento OCR-plus-extraction è particolarmente comune nei contesti sanitari in cui i documenti vengono ricevuti come immagini scansionate. La rilevazione CPR deve funzionare su testo elaborato da OCR, che spesso introduce incoerenze di formattazione (spazi inseriti a metà numero, errori di posizione del trattino) che interrompono il semplice abbinamento di schemi.
Per la conformità al GDPR della sanità danese: la rilevazione CPR con validazione del modulo-11 sia in testo pulito che in output elaborato da OCR, NER in lingua danese (spaCy da_core_news), e documentazione tecnica di anonimizzazione che soddisfi gli standard di uso secondario di Datatilsynet del 2024 sono i requisiti minimi.
Fonti: