Sanità e Privacy: come cambia il diritto alla riservatezza in ambito sanitario
16 Novembre 2020 in DPO as a Service
La pandemia di Covid-19 ha obbligato strutture e operatori sanitari a ripensare, in tempi brevi, il modello di assistenza “tradizionale” e, conseguentemente, il rapporto tra privacy e sanità. Sebbene, infatti, il precedente sistema assistenziale si sia dimostrato capace di reggere ai mutamenti imposti dalle misure anti-contagio del Covid-19, ci si è resi conto che era possibile, facendo uso di strumenti digitali, fornire nuovi servizi e accorciare le distanze col paziente all’interno dell’intero territorio nazionale.
L’introduzione di strumenti di teleconsulto e televisita, in particolare, ha permesso al paziente di ottenere un miglior standard di cura, senza, al tempo stesso, obbligarlo a spostarsi, aumentando il rischio di contagio.
Sotto il profilo della privacy, ciò determina il trattamento di una maggiore quantità di dati relativi alla salute delle persone (c.d. dati particolari) e, contrariamente a quanto avveniva in precedenza, la perdita di controllo sugli stessi, in quanto fuoriescono dalle mura ospedaliere e dalle reti controllate delle strutture sanitarie, incrementando la probabilità di attacchi dolosi.
Affinché, quindi, anche il sistema assistenziale “digitale” possa garantire lo stesso livello di sicurezza e tutela dei soggetti interessati, sia con riguardo ai pazienti che ai medici coinvolti in tale processo, occorre che il processo di gestione del paziente sia attentamente pianificato all’interno di specifici piani di programma.
“Progettare la privacy” nella sanità digitale
Svolte le dovute premesse, come può, dunque, il titolare, perseguire obiettivi di sicurezza e tutela dei propri pazienti e del proprio personale, continuando ad innovare i propri processi?
La risposta a questa domanda è contenuta, in particolar modo, all’interno dell’art. 25 del GDPR, rubricato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”: tale norma sancisce la necessità, per il titolare, di svolgere una valutazione preliminare del trattamento che si intende porre in essere, specialmente ove lo stesso abbia ad oggetto dati particolarmente delicati, quali quelli sanitari, e preveda il ricorso a nuove tecnologie.
Gli elementi da prendere in considerazione sono:
• La natura, il contesto e le finalità del trattamento;
• I rischi connessi al trattamento per come progettato, la probabilità che tali eventi di rischi si verifichino e la gravità delle conseguenze dell’evento nei confronti dei diritti e delle libertà dell’interessato: tale profilo riveste ancor maggiore importanza nell’ambito sanitario, in quanto una violazione potrebbe persino comportare la perdita di operatività dell’ospedale e/o la perdita della vita dell’interessato, nei casi più estremi;
• Le misure tecniche e organizzative necessarie alla mitigazione dei rischi rilevati, ai sensi di quanto stabilito dall’art. 32 GDPR;
• I costi di attuazione del trattamento, da considerarsi quali componente essenziale della sicurezza dello stesso. L’ingegnerizzazione del trattamento sulla base del solo principio del “minor costo”, potrebbe, infatti, risultare controproducente, rappresentando questo un elemento imprescindibile dell’innovazione e della sicurezza, nella maggior parte dei casi.
Le conclusioni tratte dal titolare in merito alle modalità di attuazione del trattamento andranno, poi, a convergere all’interno di una valutazione di rischio o, ove il trattamento comporti l’utilizzo di tecnologie innovative o risultino rischi particolarmente elevati per i diritti e le libertà delle persone fisiche, della DPIA (Data Protection Impact Assessment), che rappresenta una valutazione di rischio particolarmente dettagliata dei rischi previsti e delle misure di sicurezza poste in atto per evitare che gli stessi possano verificarsi.
Sulla base delle informazioni contenute all’interno della valutazione di rischio, il titolare potrà, inoltre, scegliere con maggiore consapevolezza i propri fornitori, selezionando soltanto quelli che rispecchiano determinati standard di sicurezza e affidabilità. Non solo: potrà anche formare correttamente i propri operatori sulle modalità di utilizzo delle tecnologie adottate e monitorare le infrastrutture, per verificarne l’adeguatezza e la resilienza ad eventi di tipo doloso, eventualmente intervenendo sulle stesse, secondo un approccio non più di tipo reattivo, ma preventivo.
Sergio Fumagalli – Partner presso P4I – Partners4Innovation