Il Club Dirigenti Tecnologie dell’Informazione CDTI di Roma ha da tempo attivato un gruppo di lavoro sulla Sanità Digitale, e di recente ha attivato un gruppo di lavoro sul Cloud Computing e uno sulla Privacy/Protezione dei dati personali. I lavori dei tre gruppi di lavoro avranno necessariamente molti punti di contatto.
Come sempre ripeto, per la parola Sanità si fa riferimento alla definizione OMS di Salute, “stato di completo benessere fisico, psichico e sociale e non semplice assenza di malattia“, considerata un diritto e come tale posta alla base di tutti gli altri diritti fondamentali che spettano alle persone. Per la parola Digitale, si fa riferimento all’Information and Communication Tecnology ICT, in cui l’informazione in formato digitale – bit – è quella che può essere manipolata da un computer e di conseguenza l’ICT indica le modalità di raccolta, di trattamento e di trasmissione delle informazioni mediante elaboratori elettronici. Ecco quindi che Sanità Digitale indica l’applicazione all’area medica e a quella dell’assistenza socio sanitaria dell’Information and Communication Tecnology ICT.
E anche in Sanità sempre più frequentemente i dati risiedono nella “nuvola”, nelle sue diverse implementazioni. L’Istituto Nazionale di Standard e Tecnologia, con il termine inglese cloud computing (in italiano nuvola informatica) indica un modello di accesso on demand, attraverso Internet, alle risorse informatiche come l’archiviazione, l’elaborazione e la trasmissione di dati, caratterizzato dalla disponibilità delle risorse informatiche a seconda delle necessità, con un minimo sforzo di gestione spesso demandato al fornitore di servizi.
Tutto può essere demandato all’esterno, in outsourcing, e a un costo potenzialmente limitato, in quanto le risorse informatiche necessarie per i servizi richiesti possono essere condivise con altri soggetti che hanno le stesse esigenze. Il cloud computing consente infatti alle aziende di consumare risorse di calcolo come un programma di utilità piuttosto che dover costruire e mantenere infrastrutture di calcolo in-house.
Con i servizi informatici che possono essere erogati su piattaforma cloud privata, pubblica o ibrida. I servizi su una piattaforma cloud privata sono forniti da un data center interno dedicato agli utenti interni. Questo modello offre versatilità e convenienza, pur mantenendo in house la gestione, il controllo e la sicurezza. Nel modello di cloud pubblico, un provider di terze parti offre il servizio cloud su Internet. Servizi cloud pubblici sono venduti on-demand, in genere per minuto o per ora. I clienti pagano solo per il consumo di CPU, la conservazione dei dati o la larghezza di banda che consumano. Cloud ibrido è una combinazione di servizi cloud pubblici e cloud privato, con cooperazione e coordinamento tra i due.
Le aziende possono eseguire carichi di lavoro mission-critical o applicazioni sensibili sul cloud privato mentre si utilizza il cloud pubblico per carichi di lavoro che devono scalare on-demand. L’obiettivo del cloud ibrido è quello di creare un ambiente unificato, automatizzato, scalabile, che si avvale di tutto ciò che una infrastruttura di cloud pubblico è in grado di fornire, pur mantenendo il controllo sui dati mission-critical.
Ma, in ambito sanitario, se i dati del paziente stanno nella “nuvola”, l’attenzione alla protezione dei dati deve essere massima. Come sempre, nell’utilizzo delle nuove tecnologie bisogna infatti saper cogliere le opportunità ma anche comprendere i rischi e attivare le misure necessarie per limitarli, se non azzerarli. Per quanto riguarda la protezione dei dati personali in Sanità, l’Autorità Garante per la protezione dei dati personali si trova frequentemente ad affrontare temi come quello del Fascicolo e del Dossier Sanitario Elettronico (FSE, DSE) emanando delle linee guida prescrittive alle quali le strutture sanitarie, a tutti i livelli, devono adeguarsi. In attesa dell’ormai imminente rilascio finale del regolamento europeo che rende stringenti e omogenee le regole in tutta Europa. Correttamente, anche per le soluzioni Cloud l’Autorità Garante ha da tempo emesso le apposite linee guida disponibili nel sito del Garante stesso, evidenziando come prima di procedere alla implementazione di una soluzione cloud, sia necessario affrontare con il fornitore alcuni importanti aspetti tecnico/legali.
Studiando le linee guida del Garante e discutendone con uno dei massimi esperti italiani, ne riporto di seguito una minima lista non esaustiva:
· in quale Paese è la sede del fornitore?
· l’infrastruttura Cloud è resa disponibile nello stesso Paese?
· il fornitore si avvale di soluzioni sviluppate da altri fornitori e rese disponibili in altri Paesi?
· dove saranno fisicamente depositati i dati?
· quale sarà la giurisdizione cui sottomettere le modalità contrattuali?
· come saranno raccolti, trattati e trasmessi i dati utente?
· che succede dei dati trasmessi al fornitore della soluzione cloud una volta terminato il contratto?
· in ambito sanitario, in che modo, e secondo quale legislazione, verrà gestita la protezione dei dati, la loro sicurezza, la loro disponibilità sempre e ovunque (disaster recovery)?
In conclusione, come evidenziato dal Garante per la protezione dei dati nelle suddette linee guida, in ambito cloud computing attenzione a “proteggere i dati per non cadere dalle nuvole”.
Sanità Digitale, Cloud e Protezione dei dati personali in stretto raccordo, appunto.
