Per definire le modalità e i limiti dell’accesso ai dati sanitari, occorre raccordare una serie di disposizioni normative, derivanti dalla L. 241/90, dal D. Lgs. 196/2003, dalle previsioni del codice penale in tema di tutela del segreto professionale (art. 622) e del segreto d’ufficio (art. 326). La non sempre agevole ponderazione dei diversi diritti di accesso e di tutela del segreto è stata oggetto di pronunce ripetute del Garante della privacy, a cui si deve l’enunciazione del principio guida del ?pari rango?. Per decidere se l’accesso a dati sensibili sia consentito, occorre considerare se il diritto invocato dal richiedente abbia pari rango rispetto a quello della riservatezza.
In sintesi, hanno diritto alla consultazione e a ottenere copia degli atti, in toto o in parte, oltre che al rilascio di estratti degli stessi:
- la persona assistita (interessato);
- persone delegate dall’interessato;
- in ipotesi di decesso dell’interessato, hanno titolo, ciascuno per proprio conto, gli eredi come stabilito nel decreto;
- altri casi particolari che la legge della privacy regola.
In ultima analisi, la sicurezza dei sistemi informatici che sottintende alla gestione di qualsiasi dato clinico, bisogna sottolineare, non dipende solo da aspetti tecnici, ma soprattutto da quelli organizzativi; perciò la realizzazione di un sistema di sicurezza si può ricondurre a tre specifiche funzioni:
- definizione delle politiche di sicurezza in materia informatica;
- attuazione di tali politiche;
- verifica della corretta attuazione e della efficienza delle misure adottate attraverso “audit”.
Da un punto di vista implementativo è necessario che ogni struttura dotata di Sistemi Informativi definisca un piano di sicurezza che preveda delle attività specifiche come l’analisi del rischio, definizione delle politiche di sicurezza, gestione del rischio, definizione di un piano operativo, audit e formazione.
Le politiche della sicurezza dovrebbero riguardare alcuni aspetti importanti come:
- la protezione fisica delle risorse: classificazione delle aree, accesso controllato e sorveglianza delle stesse, rilevazione tempestiva degli incidenti;
- la protezione logica: controllo dell’accesso alle informazioni, controllo delle porte di rete;
- il piano di continuità operativa: prevedere le risorse necessarie per il ripristino delle attività in caso di emergenza.
L’applicazione delle politiche di sicurezza dovrebbero portare alla definizione pratica di quei processi composti da specifici passi e da precisi accorgimenti tecnologici che gli operatori devono seguire per raggiungere gli obiettivi definiti nelle politiche.
Esempi comuni di accorgimenti tecnologici ai fini della sicurezza sono: backup dei dati, disaster recovery, rendere il canale di comunicazione sicuro ad esempio con il protocollo SSL, uso di connessioni VPN, utilizzo di firewall, uso della crittografia, utilizzo della firma digitale, uso dell’autenticazione per l’accesso ai dati, utilizzo di sistemi atti a rilevare programmi malevoli.
È auspicabile, quindi, un approccio sistemico al problema della sicurezza, mantenendo tale sistema sempre aggiornato. Inoltre la tendenza delle strutture che trattano i dati informatici e i dati sanitari in particolare è quella di riservare sempre più ingenti investimenti al settore della sicurezza perché un’interruzione o perdita di dati a causa di un’intrusione può provocare seri danni non sempre quantificabili a priori.