Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

Fascicolo Sanitario Elettronico: i rischi per la data protection delle politiche di sanità integrata

Vista la particolare sensibilità dei dati archiviati nel Fascicolo Sanitario Elettronico, per evitare rischi è necessario adottare le misure di sicurezza utili a garantire la certezza dell’origine e della correttezza dei dati, oltre che l’accessibilità degli stessi solo da parte di soggetti legittimati

28 Gen 2020
F
Ada Fiaschi

Responsabile Funzione Privacy, Corporate Governance & Regulatory


L’uso della tecnologia e l’implementazione del Fascicolo Sanitario Elettronico risultano essenziali nell’ambito delle politiche di sanità integrata che si stanno sviluppando sia in ambito nazionale sia regionale e che considerano la condivisione delle informazioni sulla salute del paziente tra gli operatori sanitari uno strumento per rendere più efficienti i processi di diagnosi e cura dello stesso, ma è altrettanto essenziale parlare del Fasciolo Sanitario Elettronico e dei rischi che il suo utilizzo comporta nell’ambito della protezione dei dati personali.

L’obbiettivo è quello di razionalizzare i servizi e renderli più efficienti per i malati, stringendo l’occhio al tema del contenimento della spesa sanitaria, evitando ad esempio la ripetizione di esami clinici non necessari.

Ma dall’Autorità Garante della protezione dei dati personali proviene il monito di ricordare che, sebbene ci siano enormi opportunità che derivano dall’uso delle nuove tecnologie, vanno limitati anche i rischi nel trattamento dei dati personali.

Fascicolo Sanitario Elettronico: cos’è e come funziona

Il sistema integrato in ambito sanitario dovrebbe risolversi in percorsi attivi volti ad ottimizzare l’efficacia delle risorse, impedire sovrapposizioni di competenze e settorializzazione delle risposte.

In tale contesto è stato ideato e normato il Fascicolo Sanitario Elettronico, il quale è uno strumento informatico che riunisce i dati e i documenti (digitali o digitalizzati) di tipo sanitario e sociosanitario, relativi all’assistito (art. 12, comma 1, D.lgs. n. 179/2012).

FSE che deve essere istituito a cura delle regioni e province autonome nel rispetto della normativa vigente in materia di protezione dei dati personali, deve consentire anche l’accesso da parte del cittadino ai servizi sanitari online e va alimentato in maniera continuativa, sulla base del consenso libero e informato da parte dell’assistito, il quale può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo medesimo.

La funzione del FSE è quella di condividere tali dati e quindi la storia clinica del paziente tra vari medici o organismi sanitari. Tale Fascicolo contiene informazioni inerenti allo stato di salute dell’interessato, che possono raccontare la storia clinica del paziente, anche perché le predette informazioni provengono da più organismi sanitari in qualità di titolari autonomi del trattamento, i quali operano prevalentemente in un medesimo ambito territoriale (ad esempio, aziende sanitarie regionali o laboratori clinici privati operanti nella medesima area regionale).

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Il Fascicolo Sanitario Elettronico viene quindi aggiornato dalle strutture sanitarie e dai medici. Al FSE possono accedere, oltre al paziente (con modalità sicure, come ad esempio le smart card), i medici e il personale sanitario autorizzato. Non possono accedere terzi, quali periti assicurativi o datori di lavoro.

La normativa di settore è stata regolata con Dpcm del 29 settembre 2015, n. 178, che ha previsto:

  • i contenuti del Fascicolo Sanitario Elettronico (FSE);
  • le responsabilità e i compiti dei soggetti coinvolti;
  • le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali;
  • le modalità e i livelli diversificati di accesso in relazione alle specifiche finalità;
  • i criteri di interoperabilità;

nonché i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio, individuati quali primi contenuti da attivare a livello nazionale.

I rischi del Fascicolo Sanitario Elettronico

Invero sebbene come rappresentato più volte dal Garante, l’utilizzo di sistemi informativi per la gestione e la consultazione delle informazioni sanitarie relative alla storia clinica di un individuo abbia trovato negli ultimi anni un’ampia diffusione nel settore sanitario sia nazionale che internazionale, affinché i dossier sanitari in uso presso le strutture sanitarie siano effettivamente degli strumenti di ausilio nei processi di diagnosi e cura dei pazienti, è necessario che gli stessi siano realizzati con modalità tali da garantire in primo luogo la certezza dell’origine e della correttezza dei dati e in secondo luogo l’accessibilità degli stessi solo da parte di soggetti legittimati.

Difatti, la vulnerabilità del dato sanitario «rischia di determinare errori diagnostici o terapeutici, con conseguenze anche letali». A spiegarlo è stato il presidente Antonello Soro, presentando la relazione annuale al Senato.

Secondo il Garante «la carente sicurezza dei dati e dei sistemi può rappresentare in altri termini, una causa esiziale di malasanità mentre, per converso, la protezione dei dati e dei sistemi è un fattore determinante di efficienza sanitaria». «La digitalizzazione della sanità – ha detto il Garante – è una sfida cruciale» per il nostro paese, «rispetto alla quale però la frammentazione, l’assenza di un piano organico di sicurezza e la disomogeneità che hanno segnato le prime esperienze, appaiono ancora più pericolose». Perché «la perdita, la sottrazione, l’alterazione di un dato sanitario mette a rischio banche dati essenziali e, insieme, viola quanto di più intimo vi è nella persona, esponendola a gravi discriminazioni».

Pertanto, la realizzazione di sistemi in cui vi è certezza sull’autenticità delle informazioni presenti e disponibili all’utilizzo dei diversi operatori titolati è la prima vera sfida legata all’utilizzo di questi nuovi trattamenti e andranno pertanto prese tutte le necessarie accortezze affinché venga certificato l’inserimento del dato.

L’ulteriore seconda sfida è quella di escludere la possibilità che le informazioni mediche siano accessibili e modificabili anche da parte di soggetti che pur facendo parte del settore medico, non sono legittimati ad accedere ai fascicoli.

Pertanto, l’accesso al Fascicolo Sanitario Elettronico deve essere limitato, quindi, al solo personale sanitario che interviene nel tempo nel processo di cura del paziente.

In merito al secondo aspetto rilevato, da non dimenticare che l’esito di accertamenti ispettivi effettuati dalla Autorità nel corso degli ultimi anni in ambito sanitario, hanno messo in luce la presenza di accessi abusivi ai dossier sanitari da parte di personale amministrativo o personale medico, che non era stato mai coinvolto nel processo di cura del paziente e che per motivi di interesse personale aveva acceduto allo stesso, per poi divulgare le informazioni così acquisite a terzi all’insaputa dell’interessato.

Infine, la terza ulteriore importantissima sfida è quella della protezione dal rischio di accessi abusivi effettuati da parte di pirati informatici.

Sul valore delle informazioni mediche

Da sottolineare che l’insieme delle informazioni sanitarie trattate mediante il dossier sanitario, costituisce una banca dati di significativo rilievo non solo clinico, ma anche economico, e tale valore può scatenare appetiti che mettono a repentaglio gli interessi dei pazienti.

Pertanto, al fine di scongiurare il rischio di un accesso a tali informazioni da parte di soggetti non autorizzati o di comunicazione a terzi delle stesse da parte di soggetti a ciò abilitati, è necessario, che il titolare ponga una particolare attenzione nell’individuazione di tutte le idonee misure di sicurezza informatiche e organizzative, tra le quali anche quelle relative ai profili di autorizzazione e nella formazione dei soggetti abilitati.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Per concludere, al fine di godere a pieno degli indubbi vantaggi del FSE e poter permettere ai pazienti di essere seguiti con maggiore continuità, sarà necessario un piano organico di sicurezza e riprendendo le parole del Presidente dell’Autorità Garante per la protezione dei dati personali, “Stiamo definitivamente entrando nell’era del fascicolo sanitario elettronico. Se il fascicolo sanitario individuale non sarà adeguatamente protetto, risulterà vulnerabile. E se fosse vulnerabile diventerebbe accessibile ai ricettatori di dati o ai manipolatori. Perché se un hacker modifica il mio gruppo sanguigno da 0 positivo a 0 negativo, al primo ricovero io muoio, non so se è chiaro”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5