GDPR Sanitario in Danimarca: Applicazione del Datatilsynet 2024
Il Datatilsynet danese ha emesso 31 casi GDPR nel 2024. Quattordici di essi — il 45% — riguardavano sistemi medicali. La Danimarca ha 5,9 milioni di abitanti. Questa percentuale è molto elevata. Dimostra quanto il paese abbia digitalizzato la sanità. Dimostra anche quanto siano stringenti le norme.
Il Sistema Sanitario Danese
Ogni cittadino danese possiede un numero CPR. Quel numero è collegato alla cartella clinica, al registro dei farmaci, al registro ospedaliero e ai campioni di tessuto conservati presso lo Statens Serum Institut. Il registro ospedaliero risale al 1977.
Questo sistema rende la ricerca medica danese tra le migliori al mondo. Significa anche che i fascicoli dei pazienti sono estremamente sensibili. Ecco perché il Datatilsynet ha prestato tanta attenzione a questo ambito.
Il Problema del Numero CPR
Il numero CPR è un identificativo a 10 cifre nel formato GGMMAA-XXXX. L'ultima cifra è una cifra di controllo basata sul calcolo modulo-11.
I numeri CPR compaiono in ogni cartella clinica. Sono collegati a dati assistenziali, fiscali, bancari e di voto.
Il Datatilsynet stabilisce che è necessario verificare il lavoro di de-identificazione prima di utilizzare i dati dei pazienti per qualsiasi nuovo scopo. Eppure il 67% dei comuni strumenti NLP salta la verifica modulo-11 per i numeri CPR. Quando questo passaggio viene omesso, si producono due problemi.
Falsi positivi: Stringhe di date, numeri di fattura e codici di riferimento vengono erroneamente identificati come numeri CPR reali. Questo comporta costosi controlli manuali.
Identificatori mancati: I numeri CPR con cifre invertite non superano il controllo. Così veri ID pazienti passano inosservati. L'output sembra corretto ma non lo è.
Consulta la nostra guida al rilevamento degli ID nazionali EU per capire come funzionano le regole sulle cifre di controllo per gli altri tipi di ID europei.
Quattro Regole per il Riutilizzo dei Dati dei Pazienti
I registri medici danesi supportano la ricerca di eccellenza. Le linee guida 2024 del Datatilsynet sul riutilizzo stabiliscono quattro regole.
Documentare le operazioni eseguite: Elencare ogni campo rimosso o modificato. Annotare come sono stati arrotondati o raggruppati i valori. Una breve nota di policy non è sufficiente.
Dimostrare i risultati dei test: Provare che lo strumento ha individuato numeri CPR e altri identificativi danesi. Un'affermazione non è una prova.
Limitare i dati estratti: Non prelevare più dati personali di quanti ne richieda lo studio. Questa regola vale anche per i dataset pseudonimizzati.
Effettuare una DPIA per gli strumenti IA: Qualsiasi strumento di intelligenza artificiale che elabora cartelle cliniche danesi richiede una DPIA. Utilizzare il modulo standard del Datatilsynet.
Tre Aree di Attenzione a Copenaghen
Tra le aziende med-tech di Copenaghen figurano Leo Pharma, Bavarian Nordic e numerose startup. Il Datatilsynet monitora tre aree di rischio.
Dataset per l'addestramento dell'IA: L'autorità ha rilevato nel 2024 che alcune aziende addestravano modelli di IA su file contenenti numeri CPR reali. Nessuna disponeva di una base giuridica valida.
Trasferimenti all'estero: Alcune aziende inviavano cartelle cliniche a fornitori cloud statunitensi per attività di IA. L'autorità ha stabilito che le SCC da sole non sono sufficienti. Sono necessari anche interventi tecnici, come la cifratura con chiavi conservate in Europa.
Log di accesso: I registri devono indicare chi ha consultato quali file e perché. Devono essere conservati per almeno cinque anni.
Il 56% delle violazioni di dati sanitari danesi nel 2024 era dovuto a una de-identificazione inadeguata. L'utilizzo di strumenti con validazione CPR e supporto per la lingua danese elimina il principale fattore di rischio.
Per approfondire l'applicazione nordica, consulta la nostra guida all'anonimizzazione GDPR di IMY Svezia.