mHealth e privacy: in arrivo le Linee Guida dall’Europa
Entro la fine del 2016 la Commissione Europea è intenzionata ad emanare apposite linee guida che possano salvaguardare al meglio la privacy dei cittadini in materia di salute relativamente alle informazioni personali e sensibili che vengono trattate attraverso le nuove applicazioni web nel mondo della sanità, il c.d. Mobile Health (mHealth).
Il Mobile Health
Il comparto mHealth rappresenta, ad oggi, l’ambito in cui il settore sanitario si sta sviluppando per essere meglio supportato attraverso l’uso dei dispositivi mobili oggi in circolazione. Smartphone e tablet sono molto spesso utilizzati nella medicina come strumenti per il monitoraggio dei pazienti, gli accessi alle cure mediche (soprattutto da parte delle persone più disagiate), la raccolta in tempo reale dei dati sulla salute del paziente, le agende digitali, gli assistenti personali digitali (PDA), etc. Tali dispositivi raccolgono un enorme quantitativo di informazioni personali e sensibili ed entrano in contatto con i medici ed i pazienti attraverso l’uso di apposite “app”, mHealth è infatti in grado di trasformare l’attuale concezione di assistenza sanitaria, incrementandone il servizio in termini di qualità ed efficacia.
Ma in questo contesto come si comporta la privacy?
Da poco, la commissione europea ha sollevato preoccupazioni circa l’utilità delle applicazioni mHealth per i consumatori e la loro efficacia nel trarre vantaggio della salute pubblica, avviando il 10 aprile dello scorso anno una consultazione pubblica sul tema mHealth, sotto forma di un Libro verde. La consultazione è stata presentata su diverse tematiche, quali: la protezione dei dati, il quadro legale, la sicurezza dei pazienti e la trasparenza dell’informazione, il ruolo del Mobile Health nei sistemi sanitari, l’interoperabilità, le responsabilità, etc. La consultazione si è conclusa ricevendo un totale di 211 risposte provenienti da una vasta gamma di parti interessate: quali l’industria, le autorità nazionali e regionali, gli operatori sanitari, le comunità di ricerca, le associazioni di pazienti, etc.
La maggioranza è a favore di una forte politica sulla privacy. La preoccupazione principale sollevata è stato il dovere di individuare adeguati principi di sicurezza sui dati personali trattati tramite strumenti mHealth al fine di costruire la fiducia degli utenti utilizzatori siano essi medici ed operatori sanitari, che pazienti. In particolare, è stata evidenziata, nell’ambito della sicurezza, la necessità di operare una distinzione fra questi strumenti a seconda dello scopo da raggiungere con l’app, ovvero per un utilizzo puramente sanitario o per un carattere meramente informativo volto quindi al consumatore finale.
È interessante notare, inoltre, come nelle risposte siano stati analizzati gli strumenti utili alla conservazione dei dati distinguendo le soluzioni mHealth che conservino i dati direttamente sul dispositivo ed app che invece li archivino in cloud. Quest’ultima soluzione, si è detto, presenta notevoli rischi di perdita e di violazione delle informazioni, sostenendo pertanto l’uso di due distinte soluzioni: da un lato che i servizi cloud debbano essere forniti da fornitori di fiducia, e dall’altro l’uso di “ dedicated clouds “.
Le soluzioni di sicurezza
Ancora in ambito di sicurezza, le soluzioni più popolari prospettate dagli intervistati sono state naturalmente quelle relative a:
- Cifratura dei dati e delle comunicazioni. L’applicazione web dovrebbe adottare criteri per la separazione dei dati sensibili dagli altri dati personali. Devono essere, inoltre, determinati i criteri per la cifratura dei dati sensibili (ad es., attraverso l’applicazione anche parziale di tecnologie crittografiche a file system o database), al fine di rendere gli stessi inintelligibili;
- Utilizzo di appositi meccanismi di autenticazione che permettono l’accesso ai dati in maniera serrata e controllata promuovendo l’uso di certificati digitali, biometrici, e suggerendo anche l’utilizzo di tecniche simili a quelle usate nel settore bancario (digipass, sms authentication etc).
Altre misure di sicurezza da seguire da parte di sviluppatori mHealth, in funzione del rischio e sensibilità dei dati trattati, si sostanziando nell’uso di protocolli di sicurezza di trasferimento dei dati (SSL), nella cancellazione dei dati in caso di perdita del dispositivo, nell’uso di fireware e firewall sui server nonché nell’uso della soluzione di anonima dei dati elaborati.
Relativamente alla privacy è stato, ancora, rilevato l’obbligo di informare adeguatamente l’interessato (operatore sanitario e/o paziente) sull’uso dei dati da parte del Titolare attraverso apposita informativa da rilasciare al momento dell’iscrizione accesso all’app. Inoltre l’attenzione di alcuni commentatori si è posata sull’obbligo di comunicare all’autorità di vigilanza del verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto sui dati stessi, possano comunque esporli a rischi di violazione ed il relativo obbligo di adottare una idonea procedura per comunicare senza ritardo all’interessato le operazioni di trattamento illecito effettuate dagli incaricati o da chiunque sui dati personali trattati mediante il relativo mHealth.
A tale scopo è stato indicato correttamente che il sistema deve essere in grado di rilevare eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit.
Infine, ma non da ultimo, si è giustamente sottolineata la necessità di applicare il principio del c.d. Data minimisation, ovvero gli sviluppatori di applicazioni devono raccogliere, elaborare e memorizzare solo i dati personali strettamente necessari ai fini della raccolta ed i principi “data protection by design” e “data protection by default” tanto professati dal nuovo Regolamento europeo sulla privacy in corso di emanazione.
Tenuto conto delle informazioni ricevute dopo la consultazione e sopra brevemente individuate spetta ora ai 20 membri del gruppo di lavoro UE in mHealth lavorare per fornire le opportune linee guida da applicare in materia. Il gruppo di lavoro si riunirà per la prima volta a marzo e studierà i singoli criteri di qualità ed i metodi di valutazione che possano applicarsi al settore per aiutare da una parte i pazienti a mantenere riservate le loro informazioni personali e sensibili e dall’altra gli sviluppatori, i fornitori di elettronica sistemi di cartelle cliniche, i medici etc. a proporre ed utilizzare applicazioni web sanitarie valide ed efficaci. Non ci rimane altro che attendere tali Linee Guida per verificare i principi che regoleranno le applicazioni mHealth al fine di renderle adeguate soprattutto dal punto di vista privacy.