La Relazione annuale del Garante per la protezione dei dati personali, presentata il 15 luglio 2024, traccia un quadro chiaro: il settore sanitario è tra i più esposti a rischi di violazione della privacy.
Non solo per la natura delicata dei dati trattati, ma anche per la crescente digitalizzazione, l’interconnessione dei servizi pubblici e privati, e l’adozione massiva di strumenti come Fascicolo Sanitario Elettronico 2.0, telemedicina e intelligenza artificiale.
Tra le letture più puntuali della Relazione, segnaliamo l’analisi pubblicata su Quotidiano Sanità a firma dell’Avv. Nadia Martini, Head of Data Protection, Cybersecurity & Innovation presso Rödl & Partner. Un contributo che merita attenzione per chiarezza, concretezza e capacità di sintesi delle criticità operative.
I principali alert per il settore sanitario
- Sicurezza informatica e data breach
Nel 2023, il 9% degli incidenti privacy segnalati al Garante ha riguardato il comparto sanitario, con un incremento quadruplo rispetto all’anno precedente. Le vulnerabilità più comuni:
- assenza di segmentazione delle reti
- mancanza di autenticazione multifattoriale
- backup non testati
- vulnerabilità note non monitorate
- Accessi non autorizzati ai dossier sanitari
In diversi casi, operatori non coinvolti nella cura hanno consultato cartelle cliniche o referti, in violazione del principio di minimizzazione. Fondamentali:
- tracciabilità degli accessi
- profilazione dei ruoli
- adozione del modello privacy by design
Il nodo del Fascicolo Sanitario Elettronico 2.0
Il Garante ha richiamato l’attenzione su:
- necessità di omogeneità tra le Regioni
- gestione granulare dei consensi
- possibilità di oscurare documenti
- verifica delle piattaforme usate per la telemedicina
- Intelligenza Artificiale e valutazioni di impatto
L’utilizzo dell’IA in sanità (diagnosi, prognosi, trattamento) richiede DPIA obbligatoria, supervisione umana e informazione trasparente agli interessati.
- Errori di comunicazione e pubblicazione
Tra le violazioni più frequenti:
- invio di referti via e-mail a indirizzi errati
- pubblicazione online di documenti non anonimizzati
- smarrimento di cartelle cliniche
- uso non autorizzato dei dati per fini accademici o promozionali
Le raccomandazioni operative del Garante
L’Avv. Martini sintetizza nella sua analisi anche le principali azioni concrete raccomandate alle strutture sanitarie, pubbliche e private:
- Misure tecniche avanzate: autenticazione forte, segmentazione, backup testati, logging degli accessi.
- Definizione di ruoli: DPO, referenti locali privacy, amministratori di sistema con responsabilità chiare.
- Formazione continua: programmi annuali di aggiornamento obbligatorio.
- Privacy by design: sistemi progettati per proteggere i dati fin dalla nascita.
- Consenso documentato e separato: soprattutto nei sistemi FSE 2.0.
- Canali per l’esercizio dei diritti: portali sicuri e tracciabili per accesso, rettifica, cancellazione.
Non è più solo un adempimento, è un dovere di qualità
Come sottolinea l’Avv. Martini nella chiusura della sua analisi, la protezione dei dati personali non è più un onere burocratico, ma una componente essenziale della qualità delle cure e della fiducia nel sistema sanitario.
In un contesto sempre più interconnesso, il rischio non riguarda solo le grandi strutture. Ogni studio, poliambulatorio, casa di cura o farmacia è coinvolto. E ha l’obbligo di dotarsi degli strumenti giusti.
La soluzione OKPrivacy per trasformare gli obblighi in opportunità
Con il supporto di Consulcesi & Partners, OKPrivacy accompagna strutture pubbliche e private sanitarie nella piena conformità normativa, con soluzioni legali, organizzative e tecnologiche su misura.
? Contattaci ora per una consulenza riservata con i nostri esperti privacy
Valuteremo insieme lo stato di rischio della tua struttura e gli interventi prioritari da attivare.
