Privacy e sicurezza dei dati in ambito sanitario

Le nuove norme attive dal 25 maggio 2018

Dal 25 maggio 2018 entrerà in vigore il nuovo Regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation UE 2016/679), il regolamento europeo in materia di privacy che permetterà a coloro che risiedono all’interno dell’Unione Europea di controllare i propri “dati personali” in maniera sempre più dettagliata e consapevole.

Cosa cambia dal 25/05/2018?

Il regolamento che entra in vigore attua una tutela più concreta del dato personale del cittadino attraverso l’introduzione di limiti chiari e precisi sulla modalità di trattamento (cioè di gestione) del dato sia in Italia che all’estero. Inoltre modifica il concetto di tutela passando dall’attuale impianto basato su formalismi documentali e di ruoli ad un sistema basato sulla progettazione della tutela.

Una delle principali novità del Regolamento Privacy Ue, è l’intensificazione dei doveri che gravano sui titolari del trattamento dei dati. Con questa normativa viene introdotto il principio di accountability (obbligo di responsabilità in capo all’azienda per l’utilizzo dei dati), l’irrobustimento delle garanzie di sicurezza, l’introduzione dei principi di privacy by design (tutela del dato personale fin dalla progettazione) e privacy by default (tutela della vita privata secondo regole predefinite) dei registri aziendali, della valutazione d’impatto e della consultazione preventiva; inoltre vi è la nuova figura del Data Protection Officer (DPO) e il ricorso alla certificazione nei processi di trattamento. Chi non si adeguerà entro la data prestabilita andrà incontro a un nuovo regime sanzionatorio che introdurrà multe fino a 20 milioni di euro o al 4 per cento del fatturato annuo globale dell’azienda.

Chi deve adeguarsi alla normativa?

• Obbligo di definire i tempi di conservazione dei dati.
• Obbligo di indicare la provenienza dei dati in caso di utilizzo.
• Obbligo di comunicare tempestivamente al Garante violazioni dei propri database.
• Obbligo di predisporre il documento di valutazione di impatto del trattamento dei dati personali.
• Obbligo di gestire l’accountability in materia di data protection con adeguati presidi organizzativi (prevalentemente mediante il Data Privacy Officer).

e cosa bisogna fare?

• Fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole. Valutare cosa significa in concreto dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati.
• Sperimentare nuove forme di informative visuali basate su icone.
• Analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
• Dotarsi di “software sentinella” per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali e verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.
• Sperimentare la Privacy by Design e effettuare il Privacy Impact Assessment affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti.
• Pensare a come introdurre un Data Protection Officer in azienda.
• Analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei data base aziendali.
• Definire le nuove regole di acquisizione e documentazione del consenso.

Come diventare compliant al GDPR?

• Non adottare soluzioni improvvisate e avvalersi di consulenti e partner IT preparati.
• E’ vero che il GDPR rimette le persone al centro è anche vero che tutto questo è ottenibile solo attraverso l’impiego di sistemi e soluzioni altamente affidabili e ad elevato contenuto tecnologico.
• Tecnicamente, il primo passo è sostituire le soluzioni di archiviazione locale dei dati con sistemi che centralizzino sia la gestione delle autorizzazioni sia l’accesso ai dati. In altre parole, non sarà più possibile conservare i file esclusivamente su un computer o un disco locale, bensì sarà bene optare per una più avanzata e affidabile soluzione di storage e backup: i sistemi cloud costituiscono a tal fine una delle migliori alternative disponibili, grazie anche (ma non solo) alla ridondanza dei sistemi impiegati.
• Affidarsi a fornitori di servizi cloud che certificano la localizzazione in Italia, poiché ci si assicura che la gestione delle informazioni avverrà in conformitaà con il regolamento, nel pieno rispetto degli standard e dei requisiti stabiliti a livello UE.

Come CareStudio aiuta il medico ad adeguarsi alla normativa?

CareStudio è una soluzione erogata totalmente in CLOUD ed i dati sono memorizzati nella server farm della ISED S.p.A., la quale è certificata ISO 27001. La ISED S.p.A. per la sicurezza del dato garantisce l’inaccessibilità all’informazioni a chi non ne ha diritto. Per questo vengono utilizzati algoritmi di pseudonimizzazione e cifratura uniti all’utilizzo del sistema Oracle 11g per la memorizzazione dei dati. ISED S.p.A. ha la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali e per erogare tali servizi utilizza due siti distinti per Disaster recovery e Business Continuity. Inoltre ha la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico garantendo un eventuale Backup real-time. Infine la server farm è certificata per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento effettuando continuti penetration test.

Queste semplificazioni di cui il medico può fruire sono possibili esclusivamente per prodotti realmente realizzati in CLOUD come CareStudio.

L’altro adempimento che il medico è tenuto ad ottemperare per le norme sulla privacy è la raccolta del consenso previa informativa sul trattamento dei dati personali. Attraverso questa dichiarazione scritta il medico informa il proprio paziente su quali dati avrà necessità di raccogliere per un efficace rapporto terapeutico, e chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti; questa dichiarazione verrà integrata nella soluzione CareStudio. Compito del medico sarà quello di fare firmare al paziente la dichiarazione e registrare la stessa digitalmente nella cartella clinica del paziente, nella apposita area messa a disposizione dal sistema.