Impossibile non notarlo: da qualche giorno siamo sommersi da e-mail o messaggi interni a portali e applicazioni che ci chiedono il consenso per (continuare a) trattare i nostri dati personali. Il motivo è l’entrata in vigore, il 25 maggio scorso, del nuovo Regolamento Europeo sulla protezione dei dati. Stiamo parlando del GDPR (General Data Protection Regulation) n. 679/2016 che va ad innovare la L. 196/2003, cioè la legge sulla Privacy. A differenza delle direttive europee, il regolamento è immediatamente applicabile senza bisogno di una legge che lo recepisca. Esso, infatti, fissa criteri minimi di sicurezza che la normativa nazionale non può derogare ma può solo elevare.
Con il termine ‘trattamento dei dati personali’, si intende una qualsiasi raccolta di dati associati ad una persona fisica che una istituzione o una società effettua nell’ambito della propria attività istituzionale pubblica o privata
Questa normativa, ovviamente, impatta sul lavoro quotidiano dei professionisti dell’Azienda perché indica una serie di requisiti da adottare nella gestione dei dati, valutando il rischio di ogni trattamento e quindi al fine di adottare adeguate misure di protezione.
In particolare, l’articolo 30 prevede la creazione e la manutenzione di uno o più registri dei trattamenti effettuati dall’azienda, in qualsiasi formato, cartaceo o informatico, che costituisce lo strumento base per svolgere la successiva analisi di rischio e la corretta gestione dei trattamenti.
Il gruppo privacy regionale ha predisposto un modello di registro per tutte le aziende sanitarie, che è stato presentato nella nostra Azienda dal Gruppo Privacy aziendale, composto dal Giorgio Bertacchini, Fabrizia Fregni, Enrico Silingardi, Mario Lugli, in occasione di due incontri tenuti il 3 maggio all’Ospedale Policlinico e il 10 maggio all’Ospedale Civile.
Il registro prevede 33 tipologie di trattamento dati, per ciascuna delle quali devono essere definiti i parametri di sicurezza, cioè le modalità tecniche ed organizzative adottate per impedire un accesso non autorizzato ai dati stessi.
Delle principali e più immediate ricadute sul nostro lavoro quotidiano, abbiamo parlato con lng. Mario Lugli che, oltre ad essere membro del gruppo privacy, come responsabile dell’ICT aziendale si occupa delle misure di sicurezza dei dati che risiedono sui server e sui nostri PC.
Ing. Lugli, quali sono le principali novità che troviamo accendendo i nostri computer, a seguito del GDPR?
Diciamo che le principali novità sulla quotidianità di tutti sono già state attuate prima del 25 maggio, completando il percorso, iniziato all’Ospedale Civile, di modifica delle modalità di accesso ai dati dei pazienti nei principali applicativi aziendali. Ulteriori azioni verranno attuate gradualmente nelle prossime settimane, a partire dalla gestione della posta elettronica. Verrà, infatti, vietata ogni forma di deviazione delle mail aziendali su una mail personale e la web mail aziendale diventerà l’unico modo per gestire la posta elettronica da remoto. Questo meccanismo eviterà che informazioni sensibili finiscano su server non aziendali, come ad esempio i server di GMAIL che sono tendenzialmente sicuri, ma che non gestiamo direttamente. Non possiamo lasciare la sicurezza dei dati di cui siamo responsabili a un gestore terzo senza specifici contratti, come previsto dal GDPR. Parallelamente agganceremo la password della web mail a quella di accesso al PC, cioè quella che ciascuno di noi inserisce quando si collega la mattina e che viene cambiata ogni tre mesi. Il vantaggio per noi dell’ITC è una semplificazione nella manutenzione delle password di accesso alla mail, per il professionista è quello di ricordarsi una sola password. Queste modifiche saranno operative dal 11 giugno al Policlinico e a Baggiovara.
Cosa cambia nella gestione del Dossier Sanitario Elettronico?
Anzitutto occorre ricordare che il dossier è la raccolta dei dati paziente disponibili in formato elettronico – referti, esami, terapie, quadro clinico – che viene effettuata dagli ospedali dell’azienda durante il ricovero o una prestazione ambulatoriale. Al paziente già oggi viene chiesto di firmare, oltre al consenso per il trattamento dei dati personali (indispensabile anche solo per iniziare la prestazione sanitaria), il consenso alla costituzione del dossier sanitario e deve essere informato del fatto che, in assenza di questo consenso, le informazioni raccolte durante il ricovero o la prestazione ambulatoriale non saranno conservate e, in caso di un nuovo ricovero o una nuova prestazione, tutti gli esami potrebbero essere ripetuti. Il consenso può essere dato e poi cancellato in ogni momento. Mentre il Dossier Sanitario è parte di un archivio aziendale, il Fascicolo Sanitario Elettronico che appartiene ed è gestito dal paziente, e per questo motivo tutta la documentazione sanitaria del paziente, anche se non memorizzata sul Dossier Sanitario, confluisce comunque sul FSE, ovviamente se attivato.
Con la nuova legge, le norme sulla gestione del Dossier Sanitario si fanno più rigide: al paziente deve essere indicato il periodo di conservazione dei dati, anche se tale parametro per molte aziende sanitarie è complesso da definire stante i molteplici utilizzi della documentazione stessa, non solo ad esempio per la cura del paziente ma per la gestione di problematiche medico legali. Inoltre, l’autorizzazione a vedere i dati presenti nel Dossier è limitata al reparto di ricovero o dove viene erogata la prestazione; in caso di consulenze da parte di altri specialisti, Tale viene attivata automaticamente con la richiesta informatizzata di consulenza allo specialista durante il ricovero, per il tempo necessario alla erogazione della consulenza stessa.
Chi sono i dipendenti responsabili di questi dati?
Chiunque raccoglie dati personali o sensibili, come i dati sanitari, per il GDPR lo fa su mandato del Titolare, che per le aziende sanitarie è il Direttore Generale. Nel corso degli ultimi anni deleghe e incarichi sono stati assegnati a catena dalla direzione generale ai direttori dei servizi e da questi ai propri collaboratori, ma ora questi incarichi e queste deleghe devono essere aggiornate, includendo, ad esempio, anche tutti i fornitori, che in qualità di responsabili esterni trattano i dati aziendali.
Dal punto di vista della gestione informatica, la nostra Azienda è pronta?
Posso affermare di sì. Noi già da tempo applichiamo le norme misure minime di sicurezza dell’AGID, Agenzia per l’Italia Digitale, che assicurano già elevati standard di sicurezza. Con il GDPR queste misure minime rimangono un punto di riferimento, anche se da sole non bastano e occorre abbinarle ad adeguate analisi di rischio per tutti i trattamenti informatici aziendali.
Ovviamente abbiamo bisogno della collaborazione di tutti. È necessario che i dati sensibili siano conservati sui server aziendali, in sicurezza. I dati personali e i dati sensibili dei pazienti non devono risiedere sui PC locali o su ogni altro strumento informatico mobile (Tablet, smartphone, ecc.), dove non è garantita la conservazione tramite le programmate azioni di backup presenti invece sui server. È necessario ricordarsi che la password di sistema è personale e non va data a nessuno proprio al fine di proteggerò il contenuto del PC e dei server.