Sanità digitale e privacy, ecco quando interviene il Garante
Quando si parla di sanità digitale c’è un aspetto che non può essere trascurato: l’ingente mole di dati generati dall’utilizzo di soluzioni tecnologiche nella medicina e la necessità di tutelarli.
I problemi che possono sorgere sono diversi: da accessi ingiustificati, informative non corrette e altri errori nella gestione quotidiana del dato fino a criticità organizzative e azioni che non tengono conto del Regolamento generale sulla protezione dei dati (Gdpr).
Sono diversi i provvedimenti del Garante Privacy assunti negli ultimi due anni nei confronti delle pubbliche amministrazioni sanitarie.
Lo scorso 15 dicembre, in Friuli, tre Aziende sanitarie locali sono state destinatarie di provvedimenti per aver trattato i dati dei pazienti in violazione delle regole del Gdpr. Le tre Asl sono state sanzionate dal Garante della Privacy con un’ammenda di 55mila euro ciascuna.
Le indagini sono partite in seguito alla segnalazione di un medico, al quale era stato chiesto di validare attraverso il portale informatico regionale una lista di assistiti in base alle loro condizioni di salute. Questi dati sarebbero stati poi estratti da due società in-house della Regione Friuli ed elaborati per sviluppare un progetto di stratificazione statistica di alcune categorie di pazienti in relazione al rischio di incorrere in complicanze in caso di Covid-19.
Secondo il Garante, non c’era una base giuridica idonea per quest’attività. Altri approfondimenti su questo caso in questo articolo sul portale Tech2Doc.
Nel novero dei “dati personali”, rientrano anche le immagini di individui catturate da telecamere di sorveglianza, impianti di cui sono dotati la maggior parte degli studi medici con dotazioni di valore, come quelli odontoiatrici. Anche per queste, dunque, valgono le regole del Gdpr.
Secondo la normativa europea, è da considerarsi dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
Quando questa viene utilizzata in correlazione ad altri elementi – come un determinato luogo – allora si è in presenza di un “trattamento”: qualsiasi insieme di operazioni “compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Del tema si occupa questo articolo.
Claudia Torrisi