E-health: condivisione e privacy dei pazienti

30/03/2017
di Edoardo Gabbrielli

Secondo un recente sondaggio curato da EPSON che ha coinvolto professionisti del settore e-health e sanitario, dai medici di medicina generale agli specialisti agli infermieri, il 72% degli intervistati dichiara che un maggiore accesso ai dati dei pazienti migliorerebbe l’erogazione delle cure. Secondo il 76% degli intervistati, inoltre, la maggiore disponibilità di dati favorirebbe anche la condivisione di competenze sul campo, grazie alle opportunità offerte dall’accesso remoto e dalla collaborazione virtuale.

e-healthSempre dallo stesso sondaggio, emergono anche alcuni aspetti potenzialmente critici:

  • il 67% degli operatori ritiene che la tutela della privacy dei pazienti potrebbe ostacolare l’implementazione di tecnologie per la condivisione di dati;
  • il 47% pensa che una minore riservatezza dei dati sia accettabile al fine di garantire cure migliori e più efficaci;
  • il 70% degli intervistati ritiene inoltre che il problema principale potrebbe essere l’imputazione della responsabilità, soprattutto in caso di violazione dei dati personali.

Risulta evidente come la maggioranza degli operatori del settore sanitario spinga per un più ampio accesso ai dati dei pazienti, anche a discapito della loro privacy. Una richiesta comprensibile dal punto di vista operativo che non tiene però conto del costante aumento di attacchi informatici e violazioni della privacy al quale stiamo assistendo. Lo confermano i dati Clusit 2016: gli attacchi informatici compiuti con tecniche di Phishing /Social Engineering sono cresciuti del 1166%. Anche gli attacchi malware, che comprendono anche ransomware, sono aumentati del 116% e tra i settori più colpiti vi è proprio la sanità.

E-health e risposte ai rischi di attacco informatico: la General Data Protection Regulation

Per facilitare lo scambio di informazioni in ambito sanitario ed avere un accesso e una condivisione dei dati del paziente più sicuri, la GDPR (General Data Protection Regulation), ossia Il nuovo regolamento europeo sulla protezione dei dati (Reg. UE 2016/679), può venire in aiuto.

Per valutare i pericoli connessi al trattamento dei dati sensibili – quali quelli trattati in ambito sanitario – è fondamentale il cosiddetto PIA (Privacy Impact Assessment). Esso contiene un’attenta e precisa analisi del rischio, con lo scopo di prevenirlo e minimizzarlo nonché le misure previste per affrontarlo, includendo garanzie, misure di sicurezza e meccanismi adottati per garantire la protezione dei dati personali e dimostrare la compliance alla GDPR. Contiene inoltre la valutazione in merito alla necessità e proporzionalità dei trattamenti in relazione alle finalità perseguite.

Tra i sistemi che possono essere adottati per ridurre incidenti e accessi abusivi ai dati del paziente vi sono tecniche di cifratura, anonimizzazione e pseudonomizzazione. Quest’ultima fa sì che

i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art.4 comma 1, punto 5, Reg. UE 2016/679).

medical_24903434_lSi tratta di una soluzione utile ed efficace rendendo nulla la possibilità di correlare i dati dell’interessato alla sua identità, così che ciascun operatore autorizzato al trattamento dati – nel caso di specie il personale medico-sanitario – non avrà accesso a quelli considerati eccedenti rispetto alle sue funzioni.

Già in fase di progettazione di un trattamento è d’obbligo adottare accorgimenti tecnici e organizzativi adeguati come precisato dal principio della privacy by design. Essi dovranno essere adottati durante l’intero ciclo di vita del dato personale – dal momento della sua acquisizione fino alla cancellazione – garantendo l’esattezza, la riservatezza, nonché l’integrità del dato stesso.

La GDPR introduce anche il concetto di privacy by default, il quale stabilisce che devono essere trattati solo quei dati personali necessari alle finalità perseguite. Inoltre l’accesso a tali dati non può essere concesso ad un numero indefinito di persone. Pertanto, secondo quanto stabilito da questo principio, è importante, analizzare i differenti processi aziendali al fine di garantire un percorso coerente dei dati raccolti rendendoli disponibili in misura e modalità differenziata in base alle finalità e ai ruoli aziendali preposti. Una condivisione a fini cooperativi è dunque possibile, richiede tuttavia un’attenta fase di progettazione nel rispetto dei dettami normativi.

Reagire agli incidenti

Oltre alle disposizioni sopra citate, la GDPR prevede anche un piano di disaster recovery (art.32 GDPR).  Quest’ultimo consiste in una serie di misure tecnologiche e logistico/organizzative che hanno l’obiettivo di ripristinare sistemi, dati e infrastrutture in caso di eventi che intacchino o blocchino il sistema informativo aziendale. Questa misura risulterà di fondamentale importanza per garantire la sicurezza dei dati personali, vista la sempre maggiore richiesta di condivisione e accesso.

Un accesso e una condivisione più sicura dei dati: la blockchain

Oltre ai parametri di sicurezza forniti dal Regolamento Europeo le nuove tecnologie stesse possono venire in aiuto per garantire accesso e condivisione di dati e informazioni più sicuri. Tra queste rientra sicuramente quella denominata blockchain.

Si tratta di un registro di transazioni condiviso tra più parti che operano all’interno di una determinata rete. Nel registro vengono inserite e archiviate tutte le transazioni avvenute all’interno della rete, ovviamente in forma cifrata. Una volta inserite le informazioni, queste ultime non possono essere modificate o cancellate. Tramite blockchain è possibile tener traccia di qualsiasi tipo dato, dalle transazioni finanziarie (settore al quale viene di norma associata) fino ad un contratto. Tutto in modo indelebile e praticamente immodificabile.

Questa architettura potrebbe essere utile – grazie alle sue peculiarità –  al fine di consentire una gestione e una condivisione sicure, anche su larga scala, in caso di e-health e dati dei pazienti.

Riproduzione riservata ©

ALTRE NEWS

La disciplina giuridica degli Mms

Il mercato della telefonia mobile ha assistito ad una sempre maggiore diffusione dei cosiddetti Mms (messaggi multimediali) che consentono di effettuare fotografie e riprese di… Leggi Tutto

EXPO Milano: Internet of Things for Everything – L’Agenda

Mancano pochi giorni all’evento Colin & Partners, realizzato in collaborazione con Assinform, “Internet of Things for Everything – All’Expo la norma si fa attiva e… Leggi Tutto

E’ lecito, per le società, trattenere la copia del documento di identità del visitatore?

Per motivi di sicurezza interna, la legge obbliga il titolare di una società ad esercitare un adeguato controllo sull’accesso ai luoghi aziendali. Tale obbligo è… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.