Un binomio alquanto complesso, che ha sempre presentato non poche difficoltà, sia per la rilevanza dei dati da tutelare, sia per le misure di sicurezza e l’approccio non sempre agevole degli operatori medico-sanitari.
L’avvento della sanità digitale poi, ne ha esteso l’applicabilità, conducendo l’europea ad introdurre un nuovo regolamento in materia di trattamento dei dati personali e di privacy, il GDPR introdotto il 25 Maggio 2018 (che precisiamo non fa riferimento al solo contesto della sanità come unico ambito di applicazione).
Strutture sanitarie e GDPR
Con il GDPR, sono stati introdotti nuovi principi e nuovi standard riguardo alla privacy ed al trattamento dei dati personali, riconducibili a tre tematiche principali: l’informativa sul trattamento dei dati personali, la sicurezza ed i diritti dell’interessato.
Informativa sul trattamento dei dati personali
In merito all’informativa sul trattamento dei dati personali, il Garante ha specificato con un recente provvedimento ( n.55 del 7 Marzo 2019 ) che non è necessario richiedere il consenso al paziente per i trattamenti di dati, utilizzati in via esclusiva per l’erogazione della prestazione sanitaria richiesta dal medesimo paziente, indipendentemente dalla circostanza che il medico o la struttura operi in qualità di libero professionista o all’interno di una struttura sanitaria pubblica o privata.
Il consenso, invece, è necessario per:
- trattamenti connessi all’utilizzo di App mediche, per finalità diverse dalla cura;
- trattamenti preordinati alla fidelizzazione della clientela;
- trattamenti effettuati in ambito sanitario da persone giuridiche private per finalità promozionali o commerciali;
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il fascicolo sanitario elettronico e/o per la refertazione on-line.
E il paziente?
Il paziente, va informato sui principali elementi del trattamento e reso consapevole delle sue caratteristiche. Le informazioni fornite con annessa informativa devono essere esplicitate in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro; per quanto riguarda, invece, le modalità spetta a chi di competenza scegliere le modalità più appropriate tenendo conto delle circostanze del trattamento e del contesto in cui viene richiesto.
- Diritti dell’interessato
Il GDPR, introduce ed afferma nuovi diritti degli interessati nel trattamento dei loro dati personali:
- Diritto all’Oblio;
- Diritto alla copia;
- Sospensione o limitazione del trattamento;
- Accesso sui dati personali trattati;
- Rettifica dei dati;
- Portabilità dei dati.
Occorre, quindi, individuare un supporto adeguato che offra alle strutture la possibilità di corrispondere, nei termini di legge, all’esercizio dei diritti da parte degli interessati.
- La sicurezza
Il GDPR fornisce una serie di indicazioni sulle misure tecniche e organizzative idonee a garantire le finalità e le condizioni di liceità indicate nell’informativa sulla privacy.
Esplicitate come misure di sicurezza, applicabili ai processi organizzativi e alle tecnologie impiegate, troviamo:
- la cifratura e la pseudomizzazione dei dati archiviati;
- l’autenticazione, l’accesso ai dati e l’autorizzazione all’uso;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la presenza di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Ma come essere conformi a tali misure di sicurezza?
Una modalità per semplificare il rispetto di tale adempimento e garantire le condizioni di liceità indicate nell’informativa, è dotarsi anche di strumenti e tecnologie adeguate. Ad esempio, per le strutture sanitarie sono ottimali soluzioni gestionali integrate, come il software per poliambulatorio DMPOLI (clicca qui, per approfondire), capaci di supportare il processo organizzativo della struttura sanitaria e semplificare la gestione dell’adempimento con pratiche semplici e mirate.
Quali:
- Processo d’autenticazione e gestione dei profili per utente
In conformità dei requisiti previsti dal regolamento, una adeguata soluzione software, permette l’accesso e l’autenticazione dell’utente (operatore della struttura e/o medico) al prodotto stesso, mediante credenziali login univoche (username e password) archiviate in maniera criptata nel database.
Ad ogni utente, dunque, verrà assegnato un profilo specifico, nonché, le rispettive funzionalità in conformità del suo ruolo presso l’organizzazione medico-sanitaria.
- Pseudonomizzazione e cifratura dei dati
I dati sanitari (sensibili) dei pazienti saranno collegati ad un codice segreto (pseudonimo). Ad esempio, la cartella clinica verrà identificata mediante una sequenza numerica o una sequenza di caratteri senza significato.
L’anagrafica del paziente, invece, (nome, cognome e dati di contatto) non sarà identificata mediante codice ma memorizzata in un archivio differente, sempre però consultabile dal gestionale di riferimento, così da garantire la piena e totale riservatezza dei dati sensibili del paziente.
La pratica, identificata come cifratura rende illeggibili le informazioni, che appariranno come una sequenza di caratteri senza significato, finché non sarà applicato l’analogo algoritmo di decodifica che permetterà di visualizzare il dato originale.
- Backup
Con questa specifica funzionalità volta all’integrità e alla salvaguardia dei dati, sarà possibile procedere al salvataggio di copie integrali del database, in conformità di quanto definito.
Le copie di backup possibili potrebbero essere effettuate ed archiviate su dispositivi di memoria esterni e separati rispetto a quello su cui è in esercizio il database di lavoro. Diverse sono le modalità di esecuzione della procedura, basti pensare attualmente alla possibilità di eseguire il backup in cloud.