Anonimizzare una cartella clinica direttamente su uno smartphone Android, in modalità aereo, senza che un solo byte esca dal dispositivo. È quello che fa OpenMed 1.8, rilasciato questa settimana con licenza Apache 2.0. Il toolkit per clinical NLP ha una regola granitica: i dati del paziente non lasciano mai l'hardware su cui vengono elaborati. Niente chiamate a servizi cloud, niente chiavi API. Una scelta architetturale che diventa concreta con tre nuovi fronti: OpenMedKit per Android, i bridge per iOS/Swift e React Native, e un runtime browser sospinto da WebGPU.
OpenMedKit si appoggia a ONNX Runtime Mobile e ML Kit OCR per scannerizzare un documento e rimuovere nomi, codici di identificazione, date, il tutto sullo smartphone. Lato browser, Transformers.js e ONNX Runtime Web (wasm + backend WebGPU) fanno lo stesso lavoro completamente lato client, azzerando la superficie d'attacco del server. Per un reparto di radiologia che deve gestire DICOM, la de-identificazione arriva fino al riconoscimento del testo impresso a pixel nell'immagine, un dettaglio che rende inefficaci molte “anonimizzazioni” superficiali.
La truffa del PDF oscurato
Uno degli strumenti più istruttivi della release è verify-pdf. Molti PDF “redatti” si limitano a disegnare un rettangolo nero sopra il testo: il livello testuale sottostante rimane intatto e un copia-incolla basta a recuperare i dati originali. OpenMed fallisce deliberatamente la validazione se il testo non è stato rimosso davvero, costringendo chi sviluppa a confrontarsi con la fragilità delle pratiche correnti. È un promemoria tecnico: la conformità GDPR non si soddisfa con trucchi grafici, ma con la distruzione certa dell'informazione identificativa.
Il laboratorio globale della versione 1.9
La prossima iterazione è già in costruzione in pubblico con oltre 400 issue aperte. Il maintainer invita la comunità a contribuire con pacchetti linguistici nazionali che includano validatori per documenti d'identità specifici: dall'isikukood estone al JMBG serbo, dall'OIB croato all'EGN bulgaro. A questo si aggiungono nuovi domini NER clinici — parametri di crescita pediatrica, spirometria, vaccinazioni — e l'estrazione da formati RTF e ODT con mappatura degli offset. Undici contributor esterni hanno già consegnato codice per la 1.8, molti partendo proprio da issue simili, segno che il progetto sta costruendo una base di sviluppo distribuita e autosufficiente.
Dal punto di vista dei modelli, la galassia OpenMed conta oltre 1.500 modelli su Hugging Face, tutti Apache 2.0. Quelli per il riconoscimento di PII girano su MLX (Apple Silicon), GGUF/llama.cpp, ONNX o semplici transformers. Due di loro occupano il primo e il secondo posto nella classifica indipendente PII Masking Benchmark English, e il modello da 44 milioni di parametri — classificato quarto — è sufficientemente compatto per funzionare su un telefono. Il messaggio è chiaro: l'elaborazione locale non è un compromesso al ribasso. La qualità c'è, e si sposa con l'assenza totale di traffico verso l'esterno.
Per chi gestisce infrastrutture sanitarie, questo cambio di paradigma ha implicazioni economiche e operative profonde. Una pipeline di de-identificazione che gira interamente su hardware aziendale o su dispositivi edge sposta la spesa dal modello operativo (costo per chiamata API) a un investimento in capitale, abbattendo rischi di lock-in e semplificando la rendicontazione per la conformità. In ambienti air-gapped — pensiamo a laboratori di ricerca con dati genetici o trial clinici — l'approccio “locale per progettazione” diventa l'unica strada praticabile. La scelta di OpenMed di restare interamente self-hosted e priva di dipendenze cloud fa il paio con la tendenza più ampia del settore verso la sovranità dei dati by default, accelerata da regolamenti sempre più rigidi e dalla consapevolezza che i dati sanitari sono un bersaglio troppo prezioso per essere affidati a terze parti.
💬 Commenti (0)
🔒 Accedi o registrati per commentare gli articoli.
Nessun commento ancora. Sii il primo a commentare!