Le Aziende Sanitarie pubbliche sono in possesso di un quantitativo enorme di dati, la maggior parte dei quali proviene dall’attività sanitaria core: transiti in pronto soccorso o reparti ospedalieri, prestazioni sanitarie erogate, diagnostica per immagini ed esami di laboratorio. La restante parte è generata dalla gestione aziendale che una pubblica amministrazione esercita attraverso i suoi procedimenti.
Ecco perché in un sistema così complesso di dati ed informazioni è necessaria una governance quanto più attenta ed affidabile di ciò che il legislatore ha definito dati “sensibili” ovvero tutti quei dati atti ad individuare lo stato di salute dell’assistito, la cui raccolta, registrazione, elaborazione, diffusione, comunicazione, e corretta archiviazione sarà anche la chiave per il successo di uno sviluppo tecnologico che sicuramente nel prossimo decennio cambierà il Sistema Sanitario Nazionale.
Le opportunità della conformità al Gdpr
Se, infatti, da una parte la pubblica amministrazione si presta a recepire e percepisce come compito prioritario l’adempimento legislativo, dall’altra spesso fa fatica a cogliere le opportunità di cui l’evoluzione tecnologica è inevitabilmente portatrice. Forse la situazione è meno grave di quel che sembra, l’informatizzazione degli ultimi anni ha messo nelle mani delle aziende, potenti strumenti di base da cui partire, si tratta soltanto di trovare i giusti algoritmi e legargli agli obiettivi da raggiungere. Per rispondere al rischio sempre presente di possibili violazioni di privacy, bisogna poter partire dal controllo di gestione aziendale e durante qualunque fase di re-ingegnerizzazione dei processi e/o sviluppo di nuovi applicativi apportare ed attuare un allineamento ed una aderenza costante al nuovo regolamento generale sulla protezione dei dati, e bisogna anche dotarsi di strumenti tecnici ed organizzativi previsti dallo stesso regolamento e atti a garantire privacy degli assistiti, e sicurezza dei dati.
Se da una parte il nuovo Regolamento Europeo sulla Privacy (GDPR 2016/679) impone obiettivi di accountability e compliance, dall’altra la strategia aziendale punta alla formazione continua del personale per aumentare la consapevolezza di tutti gli operatori sanitari e non, sull’importanza e la tutela del dato, quale fonte preziosa da salvaguardare non soltanto ai fini della privacy richiesta, ma quale ricchezza per la salvaguardia della salute presente e futura del paziente e dell’intera collettività. La raccolta delle cartelle cliniche informatizzate e quel che poi si traduce in fascicolo sanitario elettronico (che altro non è che la raccolta dell’insieme di informazioni e documenti digitali di natura sociosanitario generati da eventi passati e presenti che riguardano l’assistito) non può che essere l’inevitabile destino che ci si augura di raggiungere presto. Se ogni medico prima di visitare un paziente potesse visualizzare il quadro di salute generale contenuto nel dashboard della sua storia sanitaria, quanto potrebbe essere più veloce la prestazione medica? E quanta prevenzione in più si potrebbe fare? Senza parlare poi di come sarebbe più efficace attuare calibrare e proporzionare l’offerta sanitaria del SSN sulle reali esigenze del territorio. Da questo punto di vista potrebbero dare una grande mano di auto anche i social network che più di tutti supportano i ricercatori nello studio dei comportamenti e delle abitudini delle persone, e che sono diventati il modello di riferimento di una efficace comunicazione ogni qual volta sia necessaria un’operazione di diffusione di massa di una qualsivoglia abitudine. Telemedicina, fascicolo sanitario elettronico, nuovi rapporti tra medico e paziente e social media per la customer satisfaction sono questi i migliori contenitori di dati e algoritmi su cui fondare lo sviluppo dell’innovazione aziendale già in corso e per i prossimi anni.
Le novità del GDPR
Il Gdpr, introduce la figura dell’RDT e modifica il concetto di privacy, da elemento finale delle attività di trattamento, a elemento di concept design da tenere in considerazione già all’avvio dei processi. Introduce rispetto al passato modulistiche di informative più concise e semplici da comprendere, per l’inequivocabile consenso informato da parte dell’assistito. L’introduzione dei principi di “accountability” e di “verificabilità” innesca meccanismi di produzione documentale mirata al tracciamento dei trattamenti, l’istituzione del Registro delle Attività di trattamento, per la rendicontazione puntuale sulla protezione e circolazione dei dati e la possibilità per il titolare e l’RDT, di incaricare soggetti terzi per lo svolgimento dei compiti, così facendo si allargare la platea degli interessati, e si diffonde la conoscenza.
Il Modello di gestione
Si parte dall’assessment ovvero dalla fotografia sullo stato di fatto aziendale, attraverso la mappatura di tutti i trattamenti presenti, si esegue l’analisi delle debolezze come misura del gap esistente rispetto al GDPR, dell’assetto organizzativo, applicativo e di quello infrastrutturale, si redige il Registro dei trattamenti previsto all’art. 30 del GDPR, e si effettua l’analisi dei rischi attraverso la ormai consolidata tecnica dell’identificazione e della valutazione, che misura impatti e probabilità di accadimento, dei casi di mancata applicazione di policy di data protection. Per ogni rischio ottenuto, le relative risposte attraverso le misure previste del caso. L’avvio di misure in grado di contrastare i rischi, assicura l’adeguato livello di sicurezza, tramite l’iter di approvazione e formalizzazione dei regolamenti adottati in tema di videosorveglianza, protezione dei dati, istituzione della figura dell’RDP, e costituzione di un ufficio per la protezione dei dati a supporto del titolare del trattamento, le cui funzioni attribuite sono: controllo e monitoraggio, segnalazione al titolare di eventuali trattamenti illeciti e/o non corretti, esame sui ricorsi presentati, promozione e sottoscrizione di codici deontologici di buona condotta, diffusione culturale tra i dipendenti sul tema, attraverso eventi periodici formativi, e ancora, detenzione del registro dei trattamenti e la cooperazione con le altre autorità amministrative indipendenti.
La perfetta conferma della “compliance” arriva anche attraverso l’adesione a quella che nella pubblica amministrazione è ormai diventata una vera e propria best practice degli ultimi anni: il cloud computing di sicurezza per la realizzazione di portali e servizi on-line con adesioni a convenzioni già presenti all’interno del mercato elettronico della PA erogati da fornitori certificati ed affidabili.
La consapevolezza e la conoscenza dei propri dati per un Azienda Sanitaria oggi molto più di ieri è un aspetto di fondamentale importanza e restituisce conferma sul fatto che la compliance normativa non è e non debba mai essere fine a sé stessa. L’attenzione costante al cambiamento come opportunità per colmare gli aspetti carenti del passato resta sempre la migliore delle strategie possibili da attuare.
