La protezione dei dati nel settore sanitario: una panoramica per gli studi medici

L'IFPDT (Incaricato federale della protezione dei dati e della trasparenza) ha recentemente pubblicato un rapporto: "Attacchi hacker a studi medici in Romandia". Secondo diversi media, i dati sono stati pubblicati dagli aggressori sul Dark Web: un danno difficile da quantificare. La protezione dei dati medici sensibili è un tema centrale che gli studi medici devono affrontare, anche alla luce dell'incidente di cui sopra.

Welche Daten als besonders sensibel gelten, welche datenschutzrechtlichen Vorgaben es einzuhalten gilt und welche Faktoren das Risiko minimieren, solchen Verbrechen zum Opfer zu fallen, darüber möchten wir im Folgenden einen Überblick geben, damit Sie sich und Ihre Patienten bestmöglich schützen können.

Di seguito forniamo una panoramica di quali dati sono considerati particolarmente sensibili, di quali norme sulla protezione dei dati devono essere rispettate e di quali fattori riducono al minimo il rischio di cadere vittima di tali crimini, in modo che tu possa proteggere te stesso e i tuoi pazienti nel miglior modo possibile.

Perché la protezione dei dati è essenziale nel settore sanitario? 

Sembra quasi ovvio che stiamo discutendo della protezione dei dati, ma perché e da chi devono essere protetti? I dati sanitari possono contenere informazioni di interesse per diversi soggetti e per diverse ragioni. Sia perché possono trarne conclusioni sfavorevoli per la persona interessata, sia semplicemente per trarre profitto da questi dati. I seguenti scenari illustrano il valore dei dati per i diversi attori del settore sanitario:

• Le compagnie assicurative utilizzano i dati medici per calcolare i premi per i servizi assicurativi in modo ancora più individuale o addirittura per rifiutare del tutto i clienti.
• Gli hacker ottengono l'accesso ai dati dei pazienti a causa di violazioni della sicurezza delle istituzioni mediche per estorcere loro denaro minacciando di pubblicare i dati. 
• I potenziali datori di lavoro traggono conclusioni dalle visite mediche dei candidati e rifiutano di assumerli con la motivazione che il dipendente "potrebbe essere spesso in malattia in futuro".  

Gli interessi sono diversi e spesso molto lucrosi dal punto di vista economico per le parti interessate, ma comportano sempre degli svantaggi per l'individuo. Per questo motivo, i dati sensibili – tra cui soprattutto i dati medici – sono considerati particolarmente degni di protezione.

Dati medici sensibili: cosa sono?

La privacy si applica anche alla sfera digitale

Nella protezione dei dati, si fa una distinzione fondamentale tra dati personali semplici, da un lato, e dati personali particolarmente sensibili, dall'altro. Sebbene non vi sia una distinzione netta per i diversi tipi di dati, esiste una classificazione che dovrebbe essere utilizzata come base per la categorizzazione. In questo caso, è necessario definire separatamente per ogni set di dati come deve essere categorizzato. In questo contesto, si considerano dati particolarmente sensibili, ai sensi dell'articolo 3 della LPD (Legge federale sulla protezione dei dati), le informazioni su: 

1. opinioni o attività religiose, ideologiche, politiche o sindacali,
2. salute, privacy o razza,
3. misure di assistenza sociale,
4. procedimenti e sanzioni amministrative o penali.
   
   

I dati relativi alla salute comprendono tutti i dati da cui è possibile ricavare lo stato di salute passato, presente o futuro di una persona interessata. Ciò include anche i dati relativi alla richiesta di trattamento medico e il rapporto medico-paziente in quanto tale è già considerato degno di protezione. 

La qualificazione di un'informazione come contenente dati sensibili dipende spesso dal contesto. 

Esempio: Se il nome viene memorizzato da uno studio medico nel corso della registrazione per una visita medica, il nome del paziente nel contesto della visita medica prevista è un record di dati sensibili che richiede una protezione speciale per quanto riguarda lo stato di salute della persona interessata. È importante notare che il nome da solo non costituisce un'informazione medica sensibile: è il contesto che crea questo requisito. ¹

Se la gestione delle registrazioni per le visite mediche è affidata a un fornitore esterno, anche quest'ultimo è soggetto alle severe norme sulla protezione dei dati. Questo è uno dei motivi per cui anche noi di medicosearch effettuiamo una valutazione continua del nostro rispetto della protezione dei dati. 

nLPD: come cambia la protezione dei dati in Svizzera

Con la revisione della Legge federale sulla protezione dei dati approvata dal Parlamento nel 2020, dal 1° settembre 2023 entreranno in vigore nuove leggi. Queste prevedono anche cambiamenti nella qualificazione dei dati medici per quanto riguarda il loro stato di sensibilità. 

In generale, la nuova Legge sulla protezione dei dati (nLPD) è molto simile al Regolamento generale sulla protezione dei dati (RGPD) dell'UE. Questo tentativo di standardizzazione riguarda ovviamente un gran numero di punti, ma la qualificazione dei dati genetici come informazioni mediche sensibili, presente in entrambi i testi, è particolarmente rilevante. 

Si pone quindi una sfida per tutti gli attori coinvolti nella raccolta, nell'elaborazione e nell'archiviazione di dati medici personali.

La sfida per gli studi medici in materia di protezione dei dati

A prima vista, la situazione per gli studi medici è piuttosto controversa. Da un lato, la loro competenza principale riguarda il settore medico, ma dall'altro, i dati che gestiscono quotidianamente sono estremamente sensibili e devono essere protetti. Sebbene le risorse per affrontare questo problema siano limitate, una valutazione continua in questo ambito è essenziale. Sviluppare le competenze digitali all'interno dell'azienda e incoraggiare il personale a raccogliere questa sfida può contribuire ad alleggerire il peso. 

Come affrontare questi argomenti specifici in qualità di istituzione sanitaria?

Il RGPD contiene 5 "principi" chiave che sono utili per una valutazione iniziale della situazione: 

• Principio di trasparenza: Elaborare i dati per gli interessati in modo comprensibile per loro.

• Principio di limitazione del trattamento: Raccogliere i dati solo per scopi specifici, chiari e giustificabili.

• Principio di minimizzazione dei dati: I dati devono essere adeguati e ridotti al minimo rispetto alle finalità del loro trattamento.

• Principio di limitazione della conservazione: I dati devono essere conservati solo per il tempo necessario allo scopo del loro trattamento.

• Principio di accuratezza: I dati personali devono essere aggiornati e archiviati in modo accurato. Devono essere adottate misure per cancellare immediatamente i dati che sono trattati in modo errato.

Tieni un elenco separato che documenti quali dati tratti e in quale sistema, dalle email dei tuoi pazienti alle ricette mediche che emetti. Nella politica sulla privacy, indica chiaramente quali dati raccogli, perché e in quale forma vengono trattati. 

Anche esternalizzare alcuni processi può essere vantaggioso se i terzi garantiscono la protezione dei dati raccolti e si assumono la responsabilità della loro riservatezza. Questo è un vantaggio per le strutture sanitarie che utilizzano le prenotazioni degli appuntamenti dei pazienti tramite medicosearch.

In caso di necessità o di dubbi, si consiglia di rivolgersi a esperti esterni che valutino la situazione in relazione agli standard di protezione dei dati e forniscano consulenza, dato che le violazioni della legge applicabile possono costare molto alle persone interessate.

Insieme alla nLPD Svizzera per maggiore sicurezza e riservatezza  

Lavorare insieme per una maggiore protezione nel settore sanitario

Le misure e gli approcci sopra descritti ti aiuteranno a comprendere la situazione nel tuo studio senza sottovalutare la complessità dell'argomento. Tieni presente che gestire i dati dei tuoi pazienti in modo trasparente e sicuro crea un elevato senso di fiducia ed è quindi anche uno dei modi per aumentare la fedeltà dei pazienti. Assicurati che il tuo studio medico sia conforme ai requisiti più recenti a partire da settembre 2023, in modo da poter concentrare le tue preziose risorse sulla salute dei tuoi pazienti.

Immagine di copertina di Philipp Katzenberger. Altre immagini di Jason Dent e Cytonn Photography.