Foto di got credit rilasciata sotto licenza cc https://www.flickr.com/photos/gotcredit/32913725404

Privacy in sanità, perché il regolamento Eu è un’opportunità per rafforzare la sicurezza

di Maria Cristina Daga, avvocato, Senior Legal Consultant at Partner4Innovation

Il settore sanitario è stato tra i principali protagonisti della rivoluzione tecnologica e ciò ha portato il Garante per la protezione dei dati personali ad istituire un quadro regolatorio al passo con le trasformazioni in atto nonché con le esigenze e i diritti dei cittadini.

Senza andare troppo lontano nel tempo, nel 2015, il Garante per la protezione dei dati personali emanava le nuove Linee Guida in materia di dossier sanitario a fronte dell’incremento dell’uso di tali strumenti da parte delle strutture sanitarie e della complessità della materia in rapporto alla disciplina sul trattamento dei dati personali. Con le Linee Guida il Garante anticipava alcuni dei principali obblighi oggi previsti dal Regolamento europeo 679/2016, quali il data breach e l’individuazione di un referente per la protezione dei dati personali (DPO, Data Protection Officer), anche in sintonia con quanto espresso nel decreto del Presidente del Consiglio dei ministri, in materia di Fascicolo sanitario elettronico.

Ciò detto, il Regolamento europeo 679/2016 si inserisce in uno scenario giuridico, sociale ed economico già pronto (almeno formalmente) ad una trasformazione disciplinare e regolatoria in uno dei contesti più delicati, in ragione della natura “sensibile” dei dati che attengono allo stato di salute degli interessati e rispetto ai quali l’aspettativa di riservatezza, confidenzialità e in alcuni casi, di anonimato, è tradizionalmente molto elevata.

Come indicato da Francesco Modafferi, Dirigente del Dipartimento libertà pubbliche e sanità presso il Garante per la protezione dei dati personali, in un suo recente contributo su Agendadigitale.eu:la ricerca e sviluppo tecnologico possono essere la chiave anche per la tutela del diritto fondamentale alla protezione dei dati personali attraverso lo sviluppo delle cosiddette Privacy enhanced technologies (PETs)” segnalate da una riflessione del rapporto di ENISA: Privacy by design in big data. An overview of privacy enhancing technologies in the era of big data analytics, dicembre 2015.

Si ricorda infatti che tra gli obblighi contenuti nel Regolamento europeo 679/2016, appare rilevante quello definito dall’art. 25 noto come “privacy by design” che, nell’ottica di garantire uno sviluppo tecnologico più equilibrato, incoraggia espressamente gli sviluppatori di prodotti, servizi e applicazioni a tenere conto del diritto alla protezione dei dati sin dalla fase di progettazione.

Con riferimento a tale principio, il Garante può dare un importante contributo spingendo il settore pubblico e, in particolare l’ambito sanitario, a far tesoro dell’indicazione riportata nel considerando n. 78 del Regolamento europeo 679/2016 secondo la quale “i principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”, in modo che la privacy by design diventi un elemento essenziale nella selezione delle forniture di beni o servizi deputati al trattamento dei dati personali per la Pubblica Amministrazione e per la sanità.

In un sistema sanitario sempre più dipendente da strumenti informatici (fascicolo sanitario elettronico, sistemi di diagnostica, telemedicina, dispositivi medici, ecc.) il pieno rispetto dei principi di protezione dati (tra i quali quelli di liceità, correttezza, trasparenza, esattezza, integrità e sicurezza) rappresenta ormai una condizione indispensabile per il corretto svolgimento della professione medica (come peraltro già espressamente previsto del Codice di deontologia medica)”.

Occorre considerare inoltre che i dati sanitari (e il loro elevato potenziale informativo) sono oggetto di enormi interessi, talvolta illeciti.

Come emerge dal rapporto Clusit (edizione 2016), all’interno della Pubblica Amministrazione il settore sanitario è stato quello che ha registrato il maggior numero di attacchi ransomware negli ultimi anni. Si pensi ad esempio ad eventi di cronaca recente che hanno costretto alcune strutture ospedaliere, a fronte del blocco del sistema informativo e quindi delle attività cliniche – causato dalla cifratura dei propri dati (strutturati e non strutturati) – a pagare un riscatto per ottenere dai criminali la chiave di decifratura.

Attacchi simili contro infrastrutture ospedaliere si sono verificati frequentemente nel 2016, sia in USA che altrove, considerato che dal punto di vista degli attaccanti si tratta di strutture poco protette, facili da colpire ed allo stesso tempo critiche, propense a pagare cifre anche relativamente ingenti per ripristinare velocemente la propria operatività.

Il Regolamento europeo 679/2016 sarà dunque un’opportunità per implementare un sistema organizzato di controllo e di gestione dei dati personali, considerata la protezione dei dati attraverso le misure tecniche ed organizzative e l’analisi degli impatti che i trattamenti hanno nei confronti degli interessati.

Le strutture sanitarie, come ogni altro titolare del trattamento, dovranno affrontare la sfida della normativa per adeguarsi ai nuovi obblighi entro il 25 maggio 2018 e, successivamente, garantirne l’aggiornamento.

Il tema è stato al centro del secondo incontro del Cantiere Sanità digitale, grazie anche all’intervento di Francesco Modafferi del Garante privacy.