La sanità elettronica punta all’evoluzione dell’attuale modello sanitario orizzontale verso un più integrato sistema a rete che coinvolge sia i protagonisti delle istituzioni della sanità pubblica che i cittadini, al fine di riorganizzare i processi per ottimizzare gli investimenti e diminuire gli sprechi e l’inefficienza.
Con la loro accresciuta connettività, i sistemi e le reti d’informazione sono ormai esposti a un aumento del numero e del tipo di minacce e vulnerabilità. Emergono quindi nuovi problemi di sicurezza, e si impone l’urgenza di una maggiore vigilanza riguardo a questo genere di questioni di sicurezza e la necessità di sviluppare una “cultura della sicurezza”.
La sicurezza, in questo contesto, è principalmente orientata a garantire la privacy dei dati. In particolare, va considerato che i dati clinici sono classificabili come dati sensibili, mentre i dati non clinici sono classificabili generalmente come dati personali: deve quindi essere implementata la riservatezza a livello di messaggio, tramite la crittografia.
Nella strategia della sanità elettronica, la rilevanza della protezione dei dati si identifica in modo significativo con la sicurezza dei sistemi informatici e della trasmissione o condivisione elettronica dei dati, quindi con tutte le misure preposte a garantire il rispetto dei noti principi legali della confidenzialità, dell’integrità, dell’autenticità e della disponibilità delle informazioni.
In estrema sintesi gli operatori sanitari devono adottare adeguate misure tecniche ed organizzative, anche individuali, per preservare le informazioni, istruendo adeguatamente il personale.
I dati memorizzati ed elaborati elettronicamente possono essere visionati, copiati, modificati e trasmessi solo da persone autorizzate: queste ultime, inoltre, devono potersi identificare in modo certo e univoco. I sistemi devono garantire che i dati siano disponibili, nella forma e nei contenuti, nel momento richiesto ed assicurare che essi non siano modificati o distrutti in modo accidentale o illecito. Inoltre occorre poter documentare chi ha immesso, modificato o cancellato determinati dati nel sistema e garantire le necessarie procedure e protocolli.
La costruzione di modelli organizzativi e tecnologici finalizzati alla attivazione di EHR e allo scambio e all’interoperabilità di informazioni clinico-sanitarie a livello interregionale e europeo determinano la necessità di
- utilizzare un’unica modalità di riconoscimento del cittadino
- utilizzare standard di interoperabilità degli strumenti e delle informazioni
Una disciplina organica della tutela dei dati personali è contenuta nel D. Lgs. 196/2003, comunemente noto come Codice della privacy, e nei correlati provvedimenti del Garante per la protezione dei dati personali, con particolare riferimento all’autorizzazione periodicamente rinnovata, riguardante gli esercenti le professioni sanitarie e le strutture sanitarie.
Poiché i documenti sanitari contengono dati personali ascrivibili alla categoria dei dati sensibili, in quanto idonei a rilevare lo stato di salute o la vita sessuale degli interessati, devono essere trattati:
- in modo lecito e con correttezza;
- per scopi ben determinati, espliciti e legittimi;
- esatti e, se necessario, aggiornati;
- pertinenti, completi ma non eccedenti rispetto alle finalità da perseguire;
- in forma che consenta l’identificazione solo per un tempo non superiore a quello necessario in base allo scopo.
