Anche per i sistemi informativi sanitari arriva il momento di confrontarsi con il Gdpr. Sappiamo che la protezione dei dati personali è ormai disciplinata dal GDPR e, dal 25 maggio, si rincorrono notizie inerenti decreti attuativi, abrogazioni e altre informazioni che tendono a (dis)informare: troppe volte negli ultimi anni ho assistito a fughe in avanti o repentini passi indietro a seconda della opportunità politica, del momento storico e sociale, dei potenziali compromessi che anche i tavoli tecnici devono supportare o sopportare.
Purtroppo, insomma, anche col Gdpr si sta perdendo troppo tempo a fare demagogia invece di affrontare la questione in maniera consapevole e supportati da basi solide.
Negli scorsi mesi ha avuto un ampio eco mediatica il caso Facebook e l’uso improprio dei dati personali per finalità diverse da quelli dichiarati nelle sue informative per il consenso. In tutto il mondo vi sono state prese di posizioni differenti delle autorità istituite per vigilare sul rispetto delle norme e per valutare la protezione dei diritti delle persone in qualità di utenti e/o cittadini.
Anche in Italia l’Autorità Garante per la protezione dei dati personali ha più volte richiamato altri colossi, come ad esempio Vodafone o Ferrovie dello Stato, al rispetto delle regole del gioco, talvolta anche con sanzioni, laddove ciò non fosse stata la strada scelta per meglio tutelare i diretti interessati.
Mi è apparso, quindi, importante notare che in alcuni grandi (per dimensione e popolazione) paesi come la Cina, si sia scelto una strada diversa: facilitare l’utilizzo dei dati personali in cambio di maggiori e migliori servizi, prima non esistenti.
GDPR e Codici di condotta sui dati personali in Sanità, che succederà nel 2018
Il progetto IPSE
A tal proposito è interessante condividere con voi lettori la mia esperienza da referente nell’ambito del progetto IPSE (Sperimentazione di un sistema per l’Interoperabilità europea e nazionale delle soluzioni di fascicolo sanitario elettronico: componenti Patient Summary e ePrescription) nel “lontano” 2009 e che rientrava nell’ambizioso progetto EPSOS (Smart Open Services for European Patients) cui hanno preso parte ben 25 paesi Europei. Durante tale edificante esperienza, ho avuto modo di confrontarmi direttamente con colleghi europei e mi sono fatto questa idea fantasiosa: la gestione della privacy nel nostro paese è paragonabile ad un regime totalitario (non controllato però da forze speciali!), quello europeo ad un sistema “libero” (con tanto controllo!).
Per cui, allo stato attuale e secondo il mio personalissimo punto di vista, stiamo per entrare in un sistema “libero” nel quale, senza controlli opportuni, non sarà possibile gestire in maniera adeguata la nostra privacy e di tutta la popolazione che, in qualche modo, ha a che fare con il SSN (Servizio Sanitario Nazionale).
Non dobbiamo mai dimenticare che il GDPR chiede ai titolari ed ai responsabili del trattamento di essere in grado di dimostrare di avere messo in atto “misure tecniche ed organizzative adeguate” e non minime.
Quindi, sicuramente, per giungere alla conformità prevista dal GDPR il primo passo è conoscere sé stessi (γνῶθι σαυτόν è una massima religiosa greco antica iscritta nel tempio di Apollo a Delfi), ovvero conoscere la propria azienda e sapere come funziona. Ed ecco perché il passaggio al GDPR comprende aspetti legali, organizzativi, tecnici e formativi delle risorse umane. L’approccio non può che essere multidisciplinare e i responsabili delle funzioni operative aziendali, che conoscono il funzionamento quotidiano dei processi, devono essere coinvolti nel processo di adeguamento: a tal proposito è necessaria una “cabina di regia” non solo per la gestione della privacy ma anche per la qualità della compliance.
Gdpr e sistema informativo sanitario
Nel GDPR, la sicurezza delle informazioni personali non si limita più a un elenco di strumenti tecnici di salvaguardia, come avvenuto per le precedenti misure minime di sicurezza, ma si eleva a principio di legittimità: sussiste la necessità di seguire regole ben precise. Nella pratica, questo vuole dire che la singola misura di sicurezza si inquadra in un contesto armonico, una sorta di puzzle “di conformità aziendale per la protezione dei dati personali”.
Questo discorso diventa molto impegnativo nell’ambito del sistema informativo sanitario che si configura come un sistema poco armonico e, spesso, poco comunicativo a causa dei diversi vendor presenti. Il sistema informativo di una azienda sanitaria rappresenta uno strumento completo ed integrato per il governo della struttura, sia dal punto di vista della gestione corrente che sotto il profilo della strategia evolutiva. Tante insomma le sfide richieste per il Gdpr in Sanità.
In una tale visione, una valenza particolare assume la gestione della sicurezza, che va intesa non solo dal punto di vista prettamente tecnologico, ma in quadro più ampio, tale da garantire l’esecuzione sicura e corretta dei processi aziendali, minimizzando e prevenendo per quanto possibile i rischi che, per le particolari caratteristiche del contesto sanitario, assumono una rilevanza particolare in quanto possono avere implicazioni anche sulla stessa salute del paziente e non solo sulla privacy.
Anche per quanto riguarda il profilo legale, vale la pena sottolineare come la nuova normativa sulla privacy non consenta più, come nel passato, di definire regole di ampio respiro ma anzi regole circoscrivibili a singole attività o procedure anche nelle interazioni per tutti i componenti del sistema informativo in un contesto integrato di continuità di processo e di condivisione di informazioni.
Se fino al 25 Maggio le caratteristiche – organizzative, strutturali ed implementative – dei sistemi informativi venivano espresse mediante indicatori di validità generale ed indipendenti da specifiche soluzioni tecnologiche e/o di mercato che sono correlati con i diversi fattori di rischio, con l’avvento del GDPR, il responsabile del trattamento di una ASL piuttosto che di un singolo ospedale, deve avere ben chiaro quali dati vengono gestiti da un software e come questi dati vengono scambiati con altri software presenti all’interno della propria realtà.
Le funzioni del sistema di sicurezza delle informazioni
Di conseguenza, il sistema di sicurezza delle informazioni viene a svolgere una funzione plurima nel quadro generale del GDPR. Esso deve essere orientato a:
- prevenire casi di violazioni di dati e minimizzare gli effetti nocivi in ipotesi di data breach (ma chi lo segnala?!);
- abbattere il rischio in base alla valutazione d’impatto (DPIA: ma quali parametri bisogna utilizzare?);
- tutelare il flusso di dati nella filiera con le terze parti e nella trasmissione degli stessi all’estero (come si configura la trasmissione extra Ue?);
- contribuire a dimostrare la conformità dell’azienda alla norma (stiamo dimostrando un teorema? Su quali basi di partenza?).
Selezionare le misure adeguate al contesto
Spetta all’Azienda Ospedaliera/P.O., sia che essa agisca come titolare che come responsabile del trattamento, di selezionare le misure ritenute adeguate – per qualità e tipologia – al contesto. Il legislatore prende in considerazione misure di natura sia tecnica sia organizzativa: le prime, sono i tipici strumenti della protezione informatica (negli ambiti della rete, delle postazioni, delle applicazioni IT) o fisica (nell’ambito della logistica); le seconde riguardano le politiche contenenti le regole comportamentali di dipendenti e collaboratori nella gestione dei dati, le procedure standard da seguire nelle specifiche circostanze, i ruoli assegnati al personale e le istruzioni impartite, i vincoli contrattuali sottoscritti con le terze parti.
Il GDPR estende l’obbligo di realizzazione dell’«adeguato» sistema di sicurezza delle informazioni personali anche a quei fornitori che trattano dati personali per conto di clienti: in ambito sistemi informativi sanitari tutti i fornitori trattano dati personali per conto del cliente.
Con riferimento alle singole misure, il Regolamento non ne prevede di tassative ma certo ne mette in risalto due per la loro intrinseca duttilità:
- la pseudonimizzazione (tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive); la cifratura cose ampiamente presenti nei sistemi interessati (HL7, DICOM, CDA2 ecc…).
La gestione del Cup
Partiamo dalla gestione del CUP: una prenotazione può essere effettuata in maniera informatica solo in presenza della classica ricetta rossa. Qualche Azienda sanitaria è riuscita a bypassare la ricetta rossa mediante un codice che, però, richiama tutti i dati “più che” sensibile di noi pazienti.
Dal CUP il dato viaggia verso altri “luoghi”: radiologia (RIS/PACS), Laboratorio Analisi (LIS), reparto (cartella clinica) e mi fermo.
Tutti questi fornitori devono garantire un “adeguato” sistema di sicurezza, ma quale è questo adeguato sistema di sicurezza e, soprattutto, ci si può fidare di aziende che fino ad oggi, causa problematiche legate a scarsa competenza e mancanza di fondi, hanno dovuto barcamenarsi come una nave nel bel mezzo della tempesta per eseguire le integrazioni tra di loro “trascurando” qualche volta privacy per la corretta gestione dei dati?
Il processo di attuazione delle misure
Come procedere, allora, nel processo di attuazione delle misure? In che modo occorre mappare i “trattamenti”, cioè l’entità desunta dalla correlazione tra dati utilizzati, soggetti di riferimento e finalità d’uso?
Domande cui non credo possano essere fornite risposte univoche. Allora pongo una domanda: non sarebbe il caso facilitare l’utilizzo dei dati personali in cambio di maggiori e migliori servizi, alla luce del fatto che un “adeguato” sistema di sicurezza è un concetto eccessivamente lasco, cui si cercherà di dare risposta il 26 settembre a Bari, nel Workshop sulla “Privacy in Sanità”, all’interno del I Congresso nazionale AiSdeT (Associazione Italiana di Sanità Digitale e Telemedicina).