A livello normativo si deve anche considerare il Codice della Privacy (CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI – Decreto legislativo 30 giugno 2003, n. 196) che riconosce espressamente il diritto alla protezione dei dati personali e il tradizionale diritto della riservatezza, per il quale gli esercenti le professioni sanitarie e gli impiegati pubblici sono tenuti rispettivamente al segreto professionale e al segreto d’ufficio; in ambito sanitario e socio-assistenziale è necessario rispettare la disciplina rilevante di settore, quale ad esempio la legge in materia di HIV, procreazione assistita, interruzione volontaria della gravidanza ecc.
Non meno importanti sono le regole inerenti l’uso possibile dei dati personali per finalità di ricerca scientifica e di sperimentazione, regolamentati nel corso del 2007 da due importanti provvedimenti dall’autorità Garante della Privacy: l’autorizzazione per il trattamento dei dati genetici e linee guida per i trattamenti di dati nell’ambito delle sperimentazioni cliniche di medicinali.
Infine, poiché le informazioni sanitarie sono trattate dai sistemi informatici aziendali la cui responsabilità è affidata all’Amministratore di Sistema, si ricorda la regolamentazione a loro dedicata emessa dal Garante nel 2008 che ne disciplina il comportamento per tutelare il trattamento sicuro dei dati sanitari. Le strutture sanitarie in qualità di strutture pubbliche entro il 31 Marzo di ogni anno devono rielaborare le proprie metodologie di sicurezza interna e procedere all’aggiornamento del Documento Programmatico sulla Sicurezza (DPS) che nella prossima edizione dovrà esplicitamente recepire le ultime linee guida emesse dal Garante e adeguarsi al provvedimento sugli Amministratori di Sistema.
Oltre alla compilazione online del fascicolo sanitario elettronico o cartella clinica digitale, offerta dai nuovi sistemi informatici, le strutture sanitarie devono anche occuparsi della de-materializzazione dei vecchi documenti sanitari, ovvero la digitalizzazione di ciò che era stato prodotto su carta per i quali devono rispettare, oltre alle linee guida del garante sopraccitate, le due normative Codice dell’Amministrazione digitale (D.Lgs. n.82 del 2005 ? CAD) e nella Deliberazione CNIPA (ora DigitPA) n.11 del 19 febbraio 2004.
Come innovare in sicurezza
L’evoluzione del sistema sanitario si sta realizzando attraverso l’informatizzazione delle informazioni dei pazienti e grazie all’utilizzo di nuovi macchinari e sistemi digitali per l’esecuzione di esami clinici ed analisi. I dati collezionati quindi possono subito essere mantenuti in una cartella clinica digitale arricchita di nuovi fogli digitali senza l’esigenza di stampare. Questo fascicolo sanitario può dover essere condiviso da diverse strutture sanitarie se necessario e consultato online da medici remoti per una “second opinion”.
Quale che sia l’uso finale, all’interno di un sistema informatico sanitario il furto o l’alterazione di informazioni, causato da un attacco informatico può creare danni difficilmente quantificabili che rischiano di pregiudicare la protezione dei dati dei pazienti e ledere l’immagine dell’azienda sanitaria coinvolta. Le contromisure da adottare non devono essere limitate all’area tecnica, ma devono essere estese a quella organizzativa per eliminare quei comportamenti errati che possono causare pur se inavvertitamente guai seri: parliamo di condivisione delle credenziali di accesso ai sistemi informatici o di mancato rispetto delle policy di privacy.
