L’intervento dell’Avv. Paolo Vinci riguardante il Cyber Risk in Sanità:
In veste di avvocato fiduciario di Compagnie Assicurative ed Aziende Sanitarie in ambito di responsabilità professionale medica, mi è capitato spesso di fornire pareri in ambito di rischi legati alla gestione telematica dei dati sanitari.
Nell’ultimo periodo, l’attenzione si è ovviamente spostata al trattamento dei dati personali durante l’emergenza Covid-19. Mi preme soltanto ricordare l’ “allentamento delle maglie”, da parte degli interventi governativi, del Regolamento Europeo sulla Privacy (GDPR).
Sappiamo bene che il Regolamento dispone conseguenze sanzionatorie piuttosto incisive. Si pensi alle sanzioni amministrative pecuniarie anche di entità rilevante (10 milioni di euro o 2% del fatturato, ma anche fino a 20 milioni di euro o 4% del fatturato nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante; art. 83 GDPR).
Per non parlare, poi, delle ulteriori conseguenze previste per imprese e professionisti che commettono violazioni:
- sanzioni penali (art. 167 c.p. “Trattamento illecito dei dati” ed illeciti di cui agli artt. Segg.);
- risarcimento del danno in favore dell’interessato;
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.
Ebbene, come dicevo, di fronte a questo quadro sanzionatorio così pesante, ma soprattutto di fronte ad un quadro emergenziale senza precedenti, si è intervenuti, a livello governativo, offrendo la possibilità a Ministero della Salute, Istituto Superiore di Sanità, Protezione Civile, Aziende Ospedaliere e tutte le forze in prima linea di raccogliere tutti i dati personali ritenuti necessari per contenere il contagio e assistere i malati. Si tratta, ed è bene sempre sottolinearlo, di deroghe comunque previste, a monte, dallo stesso Regolamento Europeo (che, all’art. 9, contempla un allentamento “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”).
Prescindendo dal periodo emergenziale in atto e quindi parlando di esigenze di sicurezza legate ai dati sanitari dei pazienti, bisogna sottolineare che quasi tutti interventi dell’odierno webinar hanno, come minimo comune denominatore, l’evidenza fattuale che, purtroppo, tutti i dati, e quindi anche quelli sanitari, sono o possono essere oggetto di transazioni economiche e di “hackeraggio”.
Tuttavia e come al solito, anche e soprattutto in questo campo, occorre fare una comparazione tra benefici e rischi legati alla specifica modalità di gestione.
Del resto, la gestione informatizzata dei dati sanitari non consente soltanto di migliorare il servizio reso ai pazienti, magari contribuendo a salvare loro la vita, ma serve anche ad assumere decisioni cruciali nell’ambito di diversi ambiti, anche di livello più elevato, di questa delicata materia. Può servire, ad esempio, ad orientare le politiche sanitarie riguardanti la spesa pubblica o finalizzate a migliorare scelte fondamentali sulla salute.
E su questo particolare argomento, apro una parentesi per chiuderla subito dopo: mi chiedo come siano state raccolte, ma soprattutto come siano state interpretate tutte le informazioni sanitarie che negli ultimi decenni hanno portato a ridurre la spesa pubblica sanitaria ad un livello tale da mettere in così grave difficoltà il SSN durante l’attuale emergenza pandemica…
Ma torniamo a ciò di cui stavo parlando.
La ricerca dell’efficienza ha dunque rappresentato il motivo principale che ha spinto ad informatizzare la gestione dei dati del settore sanitario. La sicurezza, invece e purtroppo, è stata un’esigenza insorta soltanto in seguito. Dico “purtroppo” perché “efficienza” e “sicurezza” sono due concetti che non possono più essere gestiti in modo separato. Il requisito della “sicurezza” dovrebbe addirittura costituire sempre la conditio sine qua non dalla quale partire per costruire tutto il resto. In altre parole, non può esserci una gestione efficiente dei dati sanitari senza che sia stata assicurata, molto prima, la loro assoluta sicurezza.
Al pari di ogni “materia prima” in senso lato, d’ora in poi, qualunque realtà aziendale, quindi anche quelle che prestano servizi sanitari, avrà la necessità di gestire nel migliore dei modi i “big data”, ossia le grandi masse di dati.
Risulta quindi aperta la sfida ad assicurare affidabilità, integrità, disponibilità e sicurezza dei dati, nonché delle infrastrutture complesse deputate a gestirli.
Si tratta di una sfida che deve essere affrontata sulla base di una convergenza di interessi, competenze e professionalità. Una sfida che rappresenta soltanto il punto di partenza iniziale, perché l’obiettivo principale è e deve restare quello di produrre benefici per la salute, per i Sistemi Sanitari, per il progresso della conoscenza medica e quindi anche per lo sviluppo economico.
Il tutto, si badi bene, a condizione che siano sempre rispettati i criteri informatici, legali, etici e deontologici della rilevazione e della diffusione dei dati sanitari dei singoli pazienti.
E questo anche nel caso in cui, per tornare all’attuale periodo emergenziale, la somma dei singoli dati sanitari, ossia i “big data sanitari” rappresenta una risorsa preziosa e strategica ove è richiesta massima tempestività dei processi decisionali: nel lungo periodo, gli impatti sui diritti e le libertà degli individui in termini di rischi legati all’elaborazione di questo tipo di dati non possono e non debbono essere sottovalutati.