Nella società moderna le informazioni stanno sempre più divenendo delle risorse chiave in tutti gli ambiti e possono a tutti gli effetti considerarsi un bene reale.
Con l’aumentare delle banche dati, sia in termini quantitativi che qualitativi, il tema della sicurezza delle informazioni in esse contenute ha acquisito, oggi, una valenza sociale tanto che la tecnologia può essere strumento di libertà oppure causa di differenziazioni sociali, le minacce derivanti da un uso illegittimo delle informazioni – e di recente ne abbiamo avuto ripetute conferme – può di fatto compromettere importanti strategie aziendali e può causare la violazione di alcuni diritti fondamentali dei cittadini.
Ecco perchè oggi siamo in una fase di eccezionale interesse al tema della privacy o, più chiaro, della protezione dei dati personali. Interesse stimolato – in attacco – per il ripetersi degli accessi indebiti e – a difesa – per l’emissione continua di linee guida da parte del Garante della Privacy a livello Italia e il prossimo rilascio, a livello Europeo, del Regolamento sulla Privacy unico e valido in tutti i Paese europei.
Entrano nel gergo comune concetti come il Data Breach, definito come un incidente in cui i dati sensibili o confidenziali sono stati potenzialmente visti, rubati o usati da personale non autorizzato, e “porto sicuro” (Safe Harbour), cioè la norma sull’approdo sicuro dei dati sensibili che ha certificato 15 anni fa i rapporti di fiducia tra Bruxelles e gli Stati Uniti, in pratica le regole per il trasferimento transfrontaliero dei dati tra le due coste dell’Atlantico, e che la recente sentenza della Corte di Giustizia Europea non considera più valida valutando che gli Stati Uniti non garantiscono effettivamente un adeguato livello di protezione dei dati personali a norma della direttiva, a conferma della diversa sensibilità verso la protezione dei dati da parte dell’Europa e degli Stati Uniti.
Plaudo quindi a eventi tipo quello organizzato in Roma il 2 Ottobre dal Ministero della Salute e dal Garante per la protezione dei dati personali per facilitare la corretta promozione della gestione privacy in Sanità, sviluppando una maggiore consapevolezza e competenza tra le parti coinvolte, anche attivando della formazione e certificazione specifica.
E segnalo lo stesso impegno da parte delle Associazioni di settore, ho partecipato il 21 Ottobre al convegno promosso da Federprivacy, e che ha visto la partecipazione di un numeroso e qualificato pubblico attento ad ascoltare le relazioni di tanti qualificati relatori.
In ambito sanitario, ove l’utilizzo delle tecnologie informatiche è sempre più intensivo e dove i dati trattati sono per loro natura ricompresi tra quelli definiti “sensibili”, sta emergendo con forza il tema del bilanciamento dei diritti, quello alla salute, sancito all’Art. 32 della nostra Costituzione e quello all’”oblio” inteso come pieno svolgimento della propria personalità secondo i dettami dell’Art.2.
L’autorità Garante della “Privacy” si trova frequentemente ad affrontare temi come quello del Fascicolo e del Dossier Sanitario Elettronico (FSE, DSE) emanando delle linee guida prescrittive alle quali le strutture sanitarie, a tutti i livelli, devono adeguarsi.
In particolare, uno dei principi essenziali diventa la cosiddetta Privacy by design, cioè i prodotti utilizzati nelle strutture sanitarie devono nascere già “geneticamente” compatibili con le regole della privacy.
Il tema può sembrare a prima vista semplice e di facile risoluzione, e lo è in senso astratto, ma se lo andiamo a declinare con l’attuale crisi economica del Paese e le sempre meno risorse a disposizione per i sistemi sanitari (oramai regionali) la questione si complica, come mi segnala il CIO di un grande Ospedale, CIO di lunga esperienza e che pure ha grande sensibilità al tema.
Privacy by design. Giustissimo. Intanto serve formare e/o assumere, anche tra i Fornitori, figure professionali che abbiano le giuste competenze, figure professionali oggi rare sul mercato, perchè devono avere profili che stanno all’incrocio tra diversi e molto eterogenei profili, praticamente servirebbero avvocati che sappiano di informatica o informatici che sappiano trattare anche gli aspetti più giuridici. E ne servono tanti, le Università e le Scuole di Formazione dovrebbero rapidamente inserire nei percorsi di studio lo sviluppo di queste competenze, come tra l’altro per l’altra grande professione del futuro del data scientist. Ho sentito Elio Catania di Confindustria Digitale stimare per tali ambiti una carenza totale di 200.000 giovani professionisti, sarebbe un bel sostegno alla ricerca del lavoro da parte dei giovani.
Privacy by design. Giustissimo. Ma questo può ovviamente valere per i prodotti a venire, oggi, in particolare in ambito sanitario, gran parte dei prodotti utilizzati nelle strutture sanitarie sono cosiddette “legacy”, storiche, certo funzionanti, ma che non tengono ovviamente conto – in tutto o in parte – della privacy.
La domanda che quindi ci si pone è la seguente? Le strutture sanitarie hanno le risorse economiche per poter procedere all’adeguamento dei processi e dei sistemi operativi al fine di ottemperare alle norme? Possono formare o assumere del personale competente? La metà delle Regioni sono alle prese con i piani di rientro, e con i continui tagli Governativi atti a ridurre le spese complessive. Tutto ciò si ripercuote inevitabilmente sulla rete di strutture sanitarie grandi e piccole che si trovano a fare i conti con la quadratura dei bilanci, già disastrati. In tale contesto, ci sono risorse da distrarre ai processi di diagnosi e cura e da investire nella tutela della privacy? Ovviamente il legislatore lavora in punta di diritto, non può valutare l’impatto economico necessario per l’adeguamento dei sistemi operativi e dei processi all’interno dei grandi ospedali.
L’impatto economico, certo, non può essere una giustificazione per eludere il problema, ma nemmeno può essere una “variabile” di cui non tenere conto, in particolare nella definizione dei budget e degli impegni di spesa sanitari. Chi ne deve tenere conto, ne tenga conto.
