L’estate dopo l’università, sono ritornato a casa per occuparmi di mio nonno vedovo. Parte del mio lavoro consisteva nel gestire i suoi medicinali. A ottant’anni , stava cominciando a essere a rischio caduta e spesso si lamentava di essere intontito dai farmaci che gli erano stati prescritti. Ma riuscire a parlare con qualcuno al telefono era faticosissimo, e le leggi sulla privacy impedivano ai dipendenti dei numeri verdi farmaceutici di rispondere ad alcune delle mie domande sugli effetti collaterali.

E così ho chiesto a Google. Seduto davanti al mio computer portatile digitavo nella barra di ricerca parole incomprensibili, come metocarbamolo o meloxicam, insieme ai miei interrogativi. Provoca giramenti di testa? Si può assumere a stomaco vuoto? Si può mescolare con altre medicine? Che ne è di caffeina o alcol? Avevo 24 anni, ero sopraffatto e usavo un motore di ricerca come comitato medico per avere consigli d’emergenza.

Nei sei anni trascorsi da allora, Google è passata dall’essere un semplice libro di consultazione digitale a un attore multimiliardario del settore sanitario, con il potenziale di mettere insieme dati medici e di ricerca in una miriade di nuovi e inquietanti modi. Il 1 novembre ha annunciato l’acquisizione, per 2,1 miliardi di dollari, dell’azienda produttrice di rilevatori indossabili Fitbit. E così, all’improvviso, la società che aveva registrato tutte le nostre ricerche notturne su farmaci e sintomi poteva potenzialmente accedere ai nostri battiti cardiaci e contapassi. Gli utenti hanno immediatamente espresso la loro preoccupazione sul fatto che Google combini dati sulla salute con la notevole massa d’informazioni che conserva a proposito dei suoi utenti.

Vuoto normativo
Google ha assicurato ai suoi critici che seguirà tutte le relative leggi sulla privacy, ma la discussione sul rispetto della normativa non ha fatto altro che distrarre l’attenzione pubblica dallo strano futuro che va delineandosi. Nel suo avventurarsi sempre di più nel campo della sanità, Google sta ammassando una grande quantità di dati sulle nostre abitudini d’acquisto, sui farmaci che usiamo e su dove viviamo, e ci sono poche norme a regolamentare il modo in cui usa questi dati.

L’acquisizione di Fitbit appare poca cosa rispetto alla notizia dell’ultima impresa dell’azienda. The Wall Street Journal ha riferito che Google avrebbe segretamente raccolto “decine di milioni” di cartelle cliniche – con tanto di nomi di pazienti, risultati di laboratorio, diagnosi, ricoveri e prescrizioni di farmaci – provenienti da oltre 2.600 ospedali, nel quadro di un progetto di apprendimento automatico dal nome in codice di Nightingale. Citando alcuni documenti interni, il quotidiano ha affermato che Google, in collaborazione con Ascension, un fornitore di servizi sanitari attivo in venti stati, stava progettando di costruire uno strumento di ricerca per i professionisti medici che utilizzerebbe algoritmi elaborati grazie all’apprendimento automatico per processare dati e fornire suggerimenti su prescrizioni, diagnosi e perfino i nomi dei medici a cui un paziente dovrebbe, o non dovrebbe più, rivolgersi.

Né i pazienti coinvolti né i dottori di Ascension erano stati informati del progetto, riferisce il Wall Street Journal. Ma anche in questo caso tutte le parti coinvolte hanno affermato che il progetto non viola le disposizione contenute nell’Hipaa (Health insurance portability and accountability act), il pacchetto di normative sulla privacy che protegge i dati dei pazienti. A una mia richiesta di chiarimenti, sia Google sia Ascension hanno fatto riferimento ai recenti post sull’argomento pubblicati sui loro blog. “Tutto il lavoro di Google con Ascension rispetta tutte le normative del settore (Hipaa compreso) a proposito dei dati dei pazienti, ed è sottoposto a una stretta sorveglianza per quanto riguarda la privacy, la sicurezza e l’uso dei dati”, è scritto nel post di Google.

Il ministero per la salute (Hhs) degli Stati Uniti sta valutando la legalità dell’accordo. Secondo l’interpretazione di Google, l’azienda è semplicemente un “partner d’impresa” che aiuta Ascension a fornire i propri servizi, e deve quindi essere sottoposta a un controllo diverso rispetto a un vero e proprio fornitore di servizi sanitari. Ma se l’Hhs valuterà che Google e la sua gestione d’informazioni private sono effettivamente qualcosa di più vicino alle attività di un fornitore di assistenza sanitaria (visto il suo accesso a informazioni sensibili provenienti da più fonti, per le quali è richiesto il consenso dei pazienti), potrebbe rilevare che Google e Ascension stanno violando la legge e rinviare la questione al ministero della giustizia per un’eventuale azione penale.

Inquietante ma legale
Ma al di là del fatto che l’accordo sia convalidato o meno dalla legge, la sua semplice esistenza suggerisce più in generale l’insufficienza delle leggi sulla privacy sanitaria, scritte molto prima che i giganti tecnologici cominciassero a investire miliardi per rivoluzionare l’assistenza sanitaria.

“Esiste un ampio consenso sul fatto che l’Hipaa sia superato, e ci sono attualmente tentativi di aggiornarlo al ventunesimo secolo”, spiega Kirste Ostherr, cofondatrice e direttrice dei laboratori Medical futures presso la Rice university. L’Hipaa è diventato legge nel 1996, molti anni prima che Google sapesse che eri incinta o potesse calcolare con un algoritmo le tue possibilità di suicidio. “L’uso delle informazione personali è cambiato rispetto agli anni novanta, quando buona parte del mondo tecnologico non esisteva neppure”. Al giorno d’oggi il comportamento digitale è già utilizzato per determinare conseguenze nel mondo reale di ogni tipo. Google e Facebook possono desumere il tuo stato emotivo e prevedere le tue possibilità di depressione in base al tuo comportamento.

I filmati caricati su YouTube sui bambini sono stati usati per la ricerca scientifica sul potenziale dell’intelligenza artificiale nella diagnosi dell’autismo. Le compagnie di assicurazioni usano i post sui social media per determinare il prezzo dell’assicurazione. Per anni le istituzioni che concedono prestiti hanno fatto lo stesso per valutare l’affidabilità creditizia. È inquietante. Ma è anche legale.

Google sostiene di non combinare i dati dei suoi utenti con i dati dei pazienti di Ascension. Ma resta il fatto che i dati già oggi in suo possesso su tutti i suoi utenti sono terribilmente rivelatori. Il tuo indirizzo ip contiene informazioni su dove vivi, che a loro volta sono legate a determinanti sociali della salute, quali reddito, impiego e origine etnica. Espressioni di ricerca come “centro distribuzione cibo più vicino” o “test hiv più vicino” possono fornire ulteriori indizi su livelli di reddito, orientamento sessuale, e così via.“L’Hipaa ha degli standard di riservatezza estremamente bassi”, spiega Travis Good, specialista della privacy e medico. “Nessuno di questi dati, che tu stia cercando delle cliniche per le malattie trasmesse sessualmente, la pillola del giorno dopo o un dermatologo, è in alcun modo contemplato dall’Hipaa”.

Leggi europee violate
Da una recente inchiesta del Financial Times, effettuata in collaborazione con l’università Carnegie Mellon, emerge che Google, Amazon e Microsoft raccolgono dati inseriti in popolari siti sanitari e di diagnosi. Il servizio pubblicitario di Google, DoubleClick, riceve nomi di prescrizioni da Drugs.com, per esempio, mentre il verificatore di sintomi di WebMd condivide informazioni con Facebook. I dati non sono resi anonimi e gli esperti legali intervistati sostengono che la loro raccolta potrebbe violare il diritto sulla privacy dell’Unione europea.

La semplice esistenza in rete – i siti a cui si accede, i luoghi dai quali si accede, le pubblicità su cui si clicca – fornisce a Google quel genere di conoscenza olistica, approfondita e aggiornata sullo stato di salute degli utenti perlopiù inimmaginabile un decennio fa.

“L’obiettivo, o la speranza, è che man mano che saranno raccolte sempre più informazioni, e quando saremo in grado di combinare diversi set di dati, saremo in grado d’immaginare dei percorsi di assistenza e in seguito di cura assolutamente su misura”, dice Good. “Quindi non si tratta solo di dire, hai 35 anni e un cancro al pancreas. Semmai la questione è: hai 35 anni, hai il cancro al pancreas, ecco la tua storia clinica, quella della tua famiglia e i tratti genetici per l’oncologia, ed ecco il percorso di assistenza pensato apposta per te”.

Creare cure mediche su misura per un numero infinito di pazienti, su larga scala, richiede un’immensa quantità di dati la cui precisione e imparzialità va sperimentata, e che devono essere standardizzati, rapidamente trattati e resi sufficientemente comprensibili da far sì che i medici possano capirli e consultarsi a vicenda per determinare la migliore assistenza da fornire a un paziente. È questa la specialità di Google. Non ha bisogno del tuo consenso. Ha già i tuoi dati.

(Traduzione di Federico Ferrone)