La digitalizzazione dovuta alla pandemia sta mettendo a dura prova le infrastrutture e le procedure legate al trattamento dei dati sanitari.
Non è solo questione di impreparazione tecnica degli operatori, ma anche di maggiori rischi informatici. Durante la seconda metà del 2020 gli attacchi hacker agli ospedali nel mondo sono aumentati del 177% rispetto lo stesso periodo del 2019.
PRIVACY NON SOLO DIGITALE
La privacy in termini di salute però non è limitata solo alla conservazione e alla comunicazione informatica dei dati. Spesso le violazioni riguardano ancora comportamenti “reali”.
Il 27 gennaio corso il Garante della Privacy ha emesso 3 provvedimenti (n. 29, 30 e 36) destinati a 3 strutture sanitarie colpevoli di non aver tutelato a dovere i dati sanitari dei propri pazienti.
Tutte e 3 le strutture hanno comunicato o reso disponibili tali dati a terzi senza l’autorizzazione dei pazienti.
Nello specifico:
- – hanno permesso la visione di cartelle cliniche da parte di personale non autorizzato,
- – hanno inviato una relazione medica a un indirizzo sbagliato,
- – non hanno rispettato la volontà di una paziente che aveva chiesto che il suo stato di salute non fosse comunicato a nessuno, usando il numero telefonico della sua abitazione e interagendo con un parente.
TRATTAMENTI DEI DATI SANITARI E GDPR
Il trattamento dei dati sanitari è tema delicato, in quanto richiederebbe che un paziente indicasse un consenso libero ed esplicito anche per tutto ciò che riguarda le basilari attività di un qualsiasi medico. Ciò bloccherebbe sul nascere qualsiasi tipo di assistenza.
In quest’ottica, il consenso al trattamento dei dati sanitari appare obbligatorio. Altro discoro è, però, l’accesso ai dati da parte di terzi.
Quando si parla di trattamento dei dati personali, il punto di riferimento normativo è il GDPR.
Il Regolamento definisce i dati sanitari come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.
Questi dati fanno parte delle categorie particolari di cui si parla all’art.9, al cui primo paragrafo si legge che:
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Al secondo paragrafo vengono però indicate delle deroghe, tra queste:
– se l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1 dell’articolo;
– se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3 dell’articolo.
COSA DICE IL GARANTE
Sul proprio sito web, il Garante della Privacy indica quali trattamenti in ambito sanitario richiedano il consenso esplicito dell’interessato, sempre secondo l’art.9 del GDPR:
a. trattamenti connessi all’utilizzo di app mediche che raccolgono dati, anche sanitari, per finalità diverse dalla telemedicina, o che permettono l’accesso da part di soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
b. trattamenti legati alla fidelizzazione della clientela da parte di farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario;
c. trattamenti in campo sanitario effettuati da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
e. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5).
PERCHÈ I DATI SANITARI INTERESSANO TANTO
Antonio Mauro, Professore alla University of Northwest U.S.A, spiega che:
«I dati sensibili sono l’obiettivo primario dei cyber criminali, che poi li venderanno per fare profitti. Questi dati però sono anche utili per generare documenti falsi, ma realizzati a partire da informazioni reali. Parliamo di documenti di identità e carte di credito, ma non solo, realizzati a partire dai dati rubati in rete.
Altri obiettivi perseguiti dai cybercriminali sono invece finalizzati al blocco delle attività critiche di una struttura sanitaria. Con l’utilizzo di malware e ransomware, si possono mandare in tilt sistemi di massima rilevanza per il funzionamento di un ospedale compresi gli stessi strumenti utilizzati per diagnosi e interventi chirurgici, fino alla richiesta di un riscatto finale.
Si tratta di criticità informatiche che sono emerse non solo in ambito sanitario, ma in qualsiasi altro settore in cui sia avvenuta la convergenza di innovazione tecnologica, digitalizzazione e impiego dell’internet delle cose».
Rendi il tuo studio più sicuro, scopri i prodotti Servicematica.
——–
LEGGI ANCHE:
Articolo 18 incostituzionale. Vale sempre l’obbligo di reintegra