Operatori e strutture sanitarie sono da sempre particolarmente vigili sul fronte della protezione dei dati sensibili dei loro pazienti, ma quanto sono consapevoli dei rischi “informatici” che corrono? Il GDPR sulla privacy (General Data Protection Regulation, Reg. UE 2016/679) impone diversi obblighi per la protezione dei dati, per sensibilizzare i titolari del trattamento sui rischi che questi ultimi corrono.
Nei prossimi paragrafi vedremo quali sono i pericoli per le informazioni sensibili e perché è necessaria la massima consapevolezza da parte di tutti gli operatori coinvolti nel Sistema Sanitario Nazionale.
La digitalizzazione offre possibilità sempre nuove, in tutti i settori. Rimuove ostacoli organizzativi e burocratici, velocizza i processi e riduce i costi. In ambito sanitario, il Fascicolo Sanitario Elettronico, la Cartella Clinica Elettronica e la Ricetta dematerializzata sono esempi di come la tecnologia può semplificare la condivisione di informazioni e la trasparenza. Non solo, sono sempre più diffuse le applicazioni che aiutano le persone a mantenersi in salute e a seguire correttamente i percorsi di cura, e le piattaforme che mettono in contatto medici e pazienti.
Leggi anche: Se la Sanità è Digitale, la qualità della vita migliora: ecco perché
Tuttavia, a questo progresso corrisponde un impatto sempre maggiore sui dati personali trattati.
A pensarci bene, oggi, ogni aspetto della nostra vita è un dato. Pensiamo, per esempio, alle App che misurano quanti passi abbiamo fatto in un giorno, quante ore abbiamo dormito, quante calorie abbiamo consumato… Sono tutte informazioni che, aggregate in grandi quantità (Big Data), aumentano la conoscenza su cosa ci piace, su quali sono le nostre abitudini, condizioni fisiche e di salute. I “dati della nostra vita” vengono storicizzati e grazie agli algoritmi predittivi (Machine Learning) è possibile prevedere i nostri comportamenti futuri.
Maggiori implicazioni sulle nostre vite, quindi, e maggiori rischi per i dati raccolti.
Ecco perché il Regolamento europeo sulla privacy impone nuovi obblighi a carico dei titolari del trattamento e introduce il principio di “privacy by design”, cioè di pensare alla “protezione del dato” fin dal momento in cui viene progettato un prodotto o un servizio.
All’aumentare della quantità e del grado di sensibilità del dato personale trattato, aumenta il rischio che derivi un danno per la persona: patrimoniale, una discriminazioni sul lavoro, la perdita di reputazione…
I dati sanitari sono tra le informazioni più sensibili e gli operatori sanitari sanno bene di avere un obbligo di riservatezza. Tuttavia, non sempre sono consapevoli dei rischi che corrono i dati conservati nel loro sistema informatico o che vengono raccolti con i sistemi di diagnostica, di telemedicina, i dispositivi medici o, ancora, attraverso le applicazioni usate per diffonderli: se questi sono facilmente accessibile a terzi, le informazioni riservate possono essere condivise e diffuse.
Rispetto al passato, quindi, oggi gli operatori sanitari hanno un dovere in più: prendersi cura dei pazienti e dei loro dati. Lo stabilisce anche l’articolo 10 del Codice di deontologia medica:
“Art. 10 Documentazione e tutela dei dati
Il medico deve tutelare la riservatezza dei dati personali e della documentazione in suo possesso riguardante le persone anche se affidata a codici o sistemi informatici.
Il medico deve informare i suoi collaboratori dell'obbligo del segreto professionale e deve vigilare affinché essi vi si conformino. Nelle pubblicazioni scientifiche di dati clinici o di osservazioni relative a singole persone, il medico deve assicurare la non identificabilità delle stesse. Analogamente il medico non deve diffondere, attraverso la stampa o altri mezzi di informazione, notizie che possano consentire la identificazione del soggetto cui si riferiscono.”
Esistono nuovi pericoli per i dati sanitari, come gli attacchi informatici, che bloccano l’accesso di ospedali e aziende sanitarie alle informazioni sui loro pazienti in cambio di denaro, ma non sono gli unici.
Un rischio di altra natura in cui possono incorrere le strutture sanitarie, è il trattamento dei dati non conforme alla normativa europea. Secondo il GDPR sulla privacy, qualsiasi attributo (numero, simbolo, elemento specifico) che identifica in modo univoco una persona fisica è un dato personale, e rientra nell’ambito di applicazione del Regolamento che, lo ricordiamo, scatterà dal 25 maggio 2018 e prevede pesanti sanzioni: fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo del trasgressore.
La minaccia del cybercrimine e la crescente complessità delle normative rendono essenziale l'utilizzo di software specializzati e GDPR compliant. GipoNext rappresenta una soluzione affidabile per proteggere i dati sensibili e ridurre i rischi di violazioni della privacy.
In GipoNext abbiamo scelto la sicurezza: ci affidiamo infatti a Microsoft Azure, il miglior servizio Cloud attualmente disponibile sul mercato. Contatta un nostro esperto per sapere come teniamo al sicuro i dati dei nostri clienti e dei loro pazienti.
Fonti:
- Privacy in Sanità, Modafferi: “Ecco come cambierà con il Gdpr” , Agenda Digitale, luglio 2017
- Sito del Garante della Privacy