Le politiche di sicurezza nell’e-Health

di Maria Dellosso

scritto il

L'introduzione della Sanità on-line prevede una serie di problematiche relative alla messa in sicurezza dei dati trattati. Con un occhio di riguardo per la privacy...

Sono riconosciuti diritti della persona a cui i dati si riferiscono:

  • ottenere conferma dell’esistenza di propri dati;
  • averne comunicazione in forma intelligibile;
  • avere indicazione di: origine dei dati, finalità e modalità del trattamento, estremi del titolare, dei responsabili, soggetti a cui i dati possono essere comunicati;
  • ottenere: aggiornamento, rettifica o integrazione di dati; cancellazione, trasformazione anonima o blocco di dati trattati in violazione di legge;
  • opporsi, per motivi legittimi, al trattamento di propri dati.

Di norma prima del trattamento, l’interessato deve ricevere debita informativa, preferibilmente, ma non necessariamente, scritta; stesse prerogative anche per il consenso, da ottenere sempre prima del trattamento; in talune circostanze, è consentito provvedere successivamente, seppur senza ritardo, quando:

  • vi sia impossibilità fisica, incapacità di agire o di intendere o volere dell’interessato e non sia disponibile alcun’altra persona, abilitata all’espressione del consenso;
  • sussista rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato;
  • la previa acquisizione potrebbe compromettere l’efficacia o la tempestività della prestazione medica.

Speciale tutela è prevista per i dati genetici, per i quali è intervenuta apposita autorizzazione del Garante il 22/2/2007.

Particolare attenzione è poi riservata agli archivi cartacei. Le misure minime da adottare sono:

  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
  • previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
  • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.

Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.

L’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. Le persone ammesse, a qualunque titolo, devono essere identificate e registrate: quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate.

La corretta gestione dei dati sanitari include anche un’adeguata conservazione degli stessi. L’attività di conservazione e archiviazione deve essere rispettosa dei disposti normativi in materia archivistica e di quelli inerenti alla tutela della privacy. I rischi attinenti alla custodia dei documenti sanitari su supporto cartaceo possono ricondursi a:

  • accesso indebito;
  • falsificazione;
  • smarrimento, sottrazione;
  • deterioramento, distruzione.

La struttura sanitaria deve individuare il responsabile di ogni archivio contenente documenti sanitari, nel rispetto delle norme stabilite dal D. Lgs. 196/2003.

In caso di distruzione o perdita di dati sanitari come ad esempio una cartella clinica, mancando specifiche disposizioni, si suggerisce di procedere in analogia a quanto avviene per gli atti di procedimenti giudiziari. In ordine di priorità, si collocano:

  1. la surrogazione: si sostituisce all’originale una sua copia autentica, se esistente, acquisibile anche con richiesta a un possessore esterno;
  2. la ricostituzione: sulla base degli elementi disponibili. In un documento così prodotto occorre un’attestazione che si tratta di “documento ricostituito”;
  3. la rinnovazione: estremo rimedio, solo se possibile ripetere, in pari condizioni, un accertamento di cui manca l’esito. Sull’esito dell’indagine rinnovata – recante la data reale di esecuzione – deve essere dato atto che trattasi di rinnovazione.

I Video di PMI