PRIVACY e SANITA’

In questo articolo parleremo di come trasformare le criticità tipiche degli ambienti sanitari in misure di sicurezza adeguate e performanti.

Capiremo anche l’importanza della nomina della figura strategica del DPO per adottare un migliore approccio alla tutela della privacy.

La riservatezza dei dati dei pazienti: un diritto prontamente tutelato dall’Art. 5 comma f) del Regolamento UE 2016/679 (GDPR) che attiene alla sfera più intima e privata della persona fisica, ancor più se ci si riferisce al settore sanitario.

Quando si parla di dati dei pazienti, dei degenti, degli assistiti e degli ospiti, siano essi cartacei o informatici, occorre tener presente che si stanno trattando dati particolari e sanitari (Art. 9 del GDPR) ovvero dati relativi allo stato di salute, risultanze di esami, anamnesi, diagnosi, cure e/o controlli sulla persona fisica, nonché i dati genetici come nel caso del genoma o DNA.

Pertanto, vista l’importanza di tali dati, che rendono identificabile il soggetto univocamente ed inequivocabilmente, è necessario e doveroso che vengano trattati con un’importanza ed una tutela ancor più incisiva, per assicurare la riservatezza, l’integrità, la disponibilità, la resilienza e la conservazione, che tra l’altro si pongono come principi cardine dell’Art. 5 GDPR.

I rischi del trattamento dei dati sanitari

Il Titolare del trattamento, sia esso una Struttura Sanitaria di natura pubblica o privata, un Ospedale o una Casa di Cura, presenta il rischio di violazione dei dati, siano essi cartacei e/o informatici. Pertanto, occorre non solo che ne sia reso edotto, ma anche che possa implementare quelle misure più idonee a prevenire il verificarsi di tale evento.

Sul piano cartaceo, sarebbe auspicabile che la documentazione sanitaria venisse riposta, ad esempio, in armadi ignifughi dotati di serratura. Ancor meglio si potrebbe mitigare il rischio creando degli accessi a tali archivi fisici/logici regolamentati al personale e protetti anche mediante sistema di videosorveglianza e/o allarme, a soggetti prestabiliti ed appositamente nominati e formati. Per farlo occorre strutturare locali idonei, pronti a garantire l’integrità e la disponibilità dei dati sanitari non solo nell’immediato, ma soprattutto nel lungo termine, il tutto regolamentato da policy scritte e condivise con il personale, che dev’esser prontamente informato e formato ai sensi del GDPR.

La distruzione del dato sanitario

Un’altra situazione sensibile da valutare con attenzione è la procedura su come smaltire e distruggere i dati personali sanitari che non hanno più ragione di esser conservati. L’operazione vien spesso sottovalutata e questo può portare ad incidenti legati alla perdita di dati.

Si riporta ad esempio il caso di un Ospedale italiano, sanzionato per violazione dei dati sanitari di ex pazienti, per non aver distrutto la documentazione in modo opportuno, mediante l’ausilio di un “distruggi documenti”, ma per averla riposta integra ed integrale in sacchi dei rifiuti, poi lasciati alla raccolta del servizio di pulizia pubblica delle strade, che una volta trovati ha allertato la Guardia di Finanza.

La sanità e l’informatica

Uno degli aspetti di maggior rischio è senza dubbio il trattamento del dato sanitario tramite strumenti informatici.

Negli ultimi due anni vi è stato un costante aumento di casi di attacchi cyber a scopo estorsivo, in particolar modo nel settore della sanità; infatti nelle strutture sanitarie si trovano dati dei pazienti, le cartelle cliniche, le prescrizioni di esami o gli esiti di anamnesi nonché l’accesso dei singoli medici al fascicolo sanitario elettronico (FSE) di ciascun paziente.

A titolo di precisazione, il FSE è uno degli strumenti tipici contenitore di dati sanitari; infatti è definito come “l’insieme di dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi riguardanti l’assistito” (art. 12, comma 1, d.l. n. 179/2012), generati oltre che da strutture sanitarie pubbliche anche da quelle private (come da Faq dell’Autorità Garante per la Protezione dei dati Personali dell’11.01.2021).

E’ pacifico, quindi, che il Titolare del trattamento in ragione del principio di accountability, (Art. 5 del GDPR) è tenuto ad implementare le misure di sicurezza più idonee e a  revisionarle periodicamente, di modo da assicurare da un lato che risultino performanti e dall’altro un rischio di violazione contenuto.

Le abitudini che vengono spesso rilevate e che comportano un alto rischio sono per esempio le cartelle cliniche in chiaro senza crittografia, il mancato utilizzo della pseudonimizzazione, l’accesso ai devices non regolamentato da policy interne, i dati dei pazienti trasferiti Extra UE senza che vi siano delle tutele adeguate, la mancata formazione per riconoscere le minacce informatiche (malware, phishing, …), l’assenza di un piano di continuità operativa o di una procedura di disaster recovery solo per citare qualche esempio.

Proprio sul punto, appare significativo evidenziare il caso di una Struttura Sanitaria che, a seguito di un attacco informatico, ha subito una violazione con la pedissequa diffusione dei dati dei propri pazienti sul web, alcuni anche lesivi dell’onore e della persona (si pensi ad una persona infetta da HIV la cui anamnesi viene diffusa), comportando così non solo la sanzione da parte del Garante Privacy, ma altresì un danno reputazionale della struttura con contenziosi in essere da parte dei pazienti e da chi ne ha il legittimo interesse.

Come tutelare al meglio i dati sanitari

Per la mitigazione dei rischi risultano centrali le figure del Consulente Privacy ed ancor di più del DPO.

A tal proposito, si segnala che la nomina del Data Protection Officer (DPO/RPD) è obbligatoria per le strutture pubbliche/private che trattano dati particolari e sanitari su larga scala, come da normativa vigente in materia di protezione di dati personali (Articolo 37, comma c) del GDPR)

Seppur con funzioni differenti, Il focus di entrambi è quello di una collaborazione per la messa a norma delle attività di trattamento svolte dal Titolare.

L’analisi dei rischi

Tra gli adempimenti in capo Titolare c’è senza dubbio quello di elaborare un’attenta analisi dei rischi sulla base della situazione di fatto, dal punto di vista dei trattamenti cartacei ed informatici. Nel caso di specie, con riferimento alle misure adeguate di sicurezza, è fondamentale esaminare:

• la modalità di accesso agli archivi sanitari
• la modalità di trattamento dei dati, ivi compresa di tempi e luoghi di conservazione,
• la gestione delle procedure interne per gli autorizzati e gli Incaricati
• la formazione del personale
• l’intera infrastruttura informatica
• l’interazione con eventuali fornitori e Responsabili
• la gestione del rapporto tra paziente e struttura

Sulla base di tale analisi dei rischi, il DPO, effettua le sue opportune valutazioni e fornisce un suo formale parere al Titolare del trattamento, su come poterli gestire e mitigare.

Tale processo avverrà in  maniera proattiva considerato il ruolo impattante del DPO all’interno dell’organizzazione.

Il DPO, alla luce delle risultanze, potrebbe consigliare, oltre ad una miglior trattamento e conservazione della documentazione cartacea ed all’adozione di regolamenti ad hoc, anche una maggior attenzione sulle politiche di sicurezza informatica. Inoltre potrebbe consigliare lo svolgimento di una DPIA, di un asset management, di un opportuno Disaster Recovery Plan, di un Vulnerability Assessment o un di Penetration test, giusto per citare qualche misura performante di Cybersecurity.

In conclusione, alla luce di quanto sopra, appare evidente e significativo che all’interno delle strutture sanitarie è necessario adottare misure di sicurezza che risultino adeguate alla tipologia di trattamento.