Protezione dei dati nel mondo della sanità: qualche utile consiglio
La teoria, a mio avviso piuttosto antiquata, che vuole che i medici si preoccupino molto di più della salute dei pazienti, che non della tutela dei loro dati personali, può portare a situazioni assai imbarazzanti per i soggetti coinvolti. Tutte le ricerche effettuate, in giro per il mondo, confermano come il mondo della sanità sia quello che presenta il maggior numero di violazione di dati personali, con applicazione di salate sanzioni.
È ben vero che, almeno in Italia, qualche microscopico passo in avanti è stato fatto, ad esempio introducendo delle aree di sicurezza agli sportelli di prenotazione delle visite, oppure togliendo le cartelle cliniche, che per solito erano poste ai piedi del letto di un paziente.
Si deve tuttavia fare di più e di meglio ed ecco qualche spunto che nasce dall’esame delle ragioni per cui, in varie parti del mondo, si sono registrate delle violazioni.
Innanzitutto, è bene tener presente che non basta proteggere i dati sanitari, ma anche i dati finanziari, associati ad un paziente. Ad esempio, in molti casi sono stati sottratti dati relativi alle coperture assicurative dei pazienti, che si sono poi rivelati più interessanti, per i malviventi, rispetto al fatto che la transaminasi di un determinato paziente fosse anomala.
È importante creare un documento, che tenga sotto controllo il flusso dei dati, attraverso i numerosissimi enti, che questi dati utilizzano. Si deve partire dall’acquisizione iniziale del dato, con l’intervista al paziente, tracciando questi dati mentre si spostano nei vari settori sanitari coinvolti. Una altra origine di dati personali, per la quale si richiede un accurato tracciamento, si trova nei laboratori di analisi, che producono dati personali, che a loro volta vengono smistati in varie parti delle strutture sanitarie.
Si faccia attenzione alla comunicazione di dati personali sanitari a soggetti terzi, come ad esempio cliniche convenzionate, ambulatori e simili, perché bisogna essere certi che questi soggetti garantiscano una soddisfacente tutela dei dati trasferiti. Si introducano anche dei limiti di conservazione dei dati, che dovranno essere cancellati o restituiti al titolare che li ha inviati.
Individuate una persona fisica, con sufficienti competenze e risorse, che possa garantire il rispetto non solo della sicurezza del sistema informativo sanitario, ma anche un adeguato livello di protezione dei dati. So bene che oggi non è facile trovare soggetti con queste competenze, ma ogni sforzo deve essere fatto per individuare un tale soggetto e conferirgli risorse e autorità appropriate.
Occorre tenere sotto controllo stretto tutti gli autorizzati al trattamento, che possono entrare ed uscire dalla struttura sanitaria. Per ognuno di essi deve essere creata una cartella, con la indicazione della data in cui è stata consegnata la lettera di autorizzazione, la data del corso di formazione, il profilo concesso di accesso ai dati sanitari ed infine, in caso di allontanamento dalla struttura, devono essere attivate le procedure che annullino tutti i poteri precedentemente conferiti. In particolare, si faccia attenzione al fatto che, non appena un soggetto autorizzato abbandona la struttura, deve immediatamente essere revocato il suo profilo di accesso al sistema informativo e devono essere attivate procedure che garantiscano che nessun dato sanitario venga, seppure involontariamente, asportato dal soggetto in questione.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.