e-Health sulle ambulanze: a Pistoia è realtà
Nella provincia di Pistoia, alle ambulanze del pronto soccorso, sono stati assegnati 40 tablet dotati di tecnologia avanzata e software Life mobile. Lo scopo è quello di collegare le unità mobili di pronto soccorso alla rete della centrale operativa del 118. Il nuovo sistema di gestione del pronto intervento sanitario provinciale – interamente finanziato dalla fondazione Caript – permette agli operatori delle ambulanze di acquisire, archiviare e inviare alla centrale e al personale sanitario i dati anagrafici del paziente compilando, fin dal primo intervento, una cartella clinica informatizzata. La stessa riporterà differenti dati personali, ma soprattutto sensibili, del paziente, quali ad esempio i sintomi e le manovre di stabilizzazione e rianimazione eseguite durante il primo soccorso, i parametri vitali e i farmaci eventualmente somministrati. Tali informazioni vengono inviate tempestivamente alle centrali operative attraverso i software Life mobile istallati sul tablet.
Quanto sopra brevemente descritto è uno degli aspetti del cosiddetto e-health. Tecnologie hardware e software sono sempre più utilizzate in sanità e sicuramente questo non è che l’inizio di una nuova era, ma il pericolo di una potenziale perdita di dati dai dispositivi utilizzati è sempre in agguato.
In Italia, la sicurezza dei dispositivi tecnico-informatici utilizzati in sanità non è ancora specificatamente normata. La tecnologia procede più velocemente rispetto alla normativa. Tuttavia, sono diversi i riferimenti normativi e non che cercano di di colmare tale gap. In particolare, da ultimi, si richiamano:
- l’Art. 12 decreto legge 18 ottobre 2012, n. 179 «Ulteriori misure urgenti per la crescita del Paese»;
- l’Art. 17 del decreto legge 2013, n. 69 «Decreto del fare»;
- il DPCM attuativo del FSE nazionale del Ministero della salute in fase di emanazione;
- le linee guida nazionali per l’istituzione del FSE, approvate il 10 febbraio 2011 dalla Conferenza Stato-Regioni;
- il D.lgs. 196 del 2003 e s.m.i. «Codice Privacy»;
- le Linee Guida del Garante della privacy in tema di FSE del 2009;
- le Linee Guida del Garante della privacy in tema di referti online sempre del 2009.
Le suddette normative enumerano una serie di requisiti e di adempimenti, in materia di sicurezza del trattamento dei dati personali, soprattutto sensibili, dei pazienti, che devono essere garantiti dagli strumenti di e-health utilizzati.
Alcuni dei più importanti si riproducono di seguito come itinerario da percorrere, per rendere il dispositivo corrispondente alla normativa:
- individuazione del Titolare del trattamento dei dati personali dei pazienti e i relativi soggetti che operano i trattamenti eseguibili sui dati medesimi;
- utilizzo di un sistema di autenticazione: i dispositivi devono essere capaci di identificare e verificare l’identità di tutti gli utenti prima di consentire loro l’accesso alle risorse;
- uso di un sistema di autorizzazione: devono verificarsi i livelli di autorizzazione da associare ad ogni utente che accede al servizio;
- utilizzo di una piattaforma in grado di rilevare l’alterazione non autorizzata;
- uso di una piattaforma che supporti la protezione dell’integrità dei dati personali e sensibili in essa conservati con l’assicurazione di apposite misure di sicurezza che preservino dall’accesso non consentito;
- individuazione di un sistema di trasmissione dei dati dai dispositivi ai server centrali che garantisca la sicurezza attraverso l’uso di protocolli sicuri e crittografati;
- uso di un sistema di registrazione dei log di accesso in grado di tenere traccia degli accessi, nonché degli errori e degli incidenti di sicurezza, quali i tentativi di login falliti o di accesso non autorizzato, al fine di scoprire l’abuso del sistema ed eventuali trattamenti illeciti di dati.;
- l’individuazione più livelli di sicurezza per evitare un singolo punto di errore;
- prevedere l’utilizzo della firma digitale dei soggetti che accedono e inseriscono i dati nel sistema;
- l’individuazione delle modalità di collegamento alla nuova piattaforma FSE nazionale ancora in fase di perfezionamento.
Considerando quanto sopra, per un corretto trattamento attraverso i tablet sulle ambulanze sarà dunque necessario:
- utilizzare sistemi di crittazione e di blocco che permettano di conservare trasferire e operare sui dati con sicurezza;
- utilizzare password sicure, sufficientemente elaborate e di lunghezza adeguata, che proteggano il tablet da usi impropri e non consentiti;
- utilizzare canali criptati che garantiscano un certo grado di sicurezza, come ad esempio il VPN o ancora il trasferimento tramite HTTPS.
Sarà inoltre necessario sviluppare, e successivamente mantenere, una policy relativa a limiti e modalità di utilizzo del dispositivo, anche in funzione di una responsabilizzazione e guida dei comportamenti tenuti dai lavoratori.
In tema di consenso ed informativa, da ultimo, occorre inoltre ricordare che il FSE può essere alimentato esclusivamente sulla base del consenso libero e informato dell’assistito, che può decidere se inserirvi tutti o parte dei propri dati sanitari. Come ricordato dal recente provvedimento del Garante privacy titolato “Illeicità nel trattamento di dati personali e sensibili presso una struttura ospedaliera” del 18 dicembre 2014, infatti, la consultazione dei dati e delle informazioni documentali presenti nel FSE da parte del personale medico per le finalità di prevenzione, diagnosi, cura e riabilitazione può avvenire esclusivamente con il consenso del paziente, salvo i casi di emergenza sanitaria, tali ultimi da individuare con estrema precisione. Occorre comunque ricordare che il mancato consenso del paziente all’inserimento dei dati nel FSE non può pregiudicare il suo diritto alla prestazione sanitaria.