Dati sanitari e GDPR: cosa richiede alle strutture sanitarie

Profesional sanitario revisando un historial en una tablet en un pasillo de hospital, con luz cálida que transmite cuidado y responsabilidad sobre la información del paciente

Dati sanitari e GDPR: cosa richiede alle strutture sanitarie

Una cartella clinica dice molto più di una carta di credito. Rivela diagnosi, terapie, storia familiare e abitudini che accompagnano una persona per tutta la vita. Per questo il GDPR (Regolamento UE 2016/679) non tratta il dato sanitario come uno qualsiasi. Lo colloca nella categoria di dati più protetta, con obblighi che vanno ben oltre l’ufficio legale o il reparto IT.

In una clinica, un ospedale o un laboratorio, gran parte di questi obblighi finisce nelle mani di chi sta alla reception, dell’infermiere che registra un episodio o dell’amministrativo che risponde a un’email. Rispettare il GDPR in sanità è, prima di tutto, una questione di persone preparate.

Cosa sono i dati sanitari per il GDPR?

I dati relativi alla salute sono i dati personali che rivelano informazioni sullo stato di salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria. Così li definisce l’articolo 4 del GDPR, e comprende tutto: dalla diagnosi al numero di cartella clinica, dal referto di laboratorio al semplice fatto che qualcuno si sia presentato a una visita.

L’articolo 9 li classifica come categoria particolare di dati. La conseguenza pratica è diretta. Il loro trattamento è vietato salvo che esista una base specifica che lo consenta, come il consenso esplicito della persona o la prestazione di assistenza sanitaria da parte di un professionista tenuto al segreto. La base generale valida per altri dati personali qui non basta.

Questa distinzione conta perché alza l’asticella. La stessa disattenzione (un’email inviata al destinatario sbagliato, una cartella condivisa senza controlli) ha un impatto e una responsabilità molto diversi quando a viaggiare è un’informazione sanitaria.

Cosa richiede il GDPR a una struttura sanitaria?

Il regolamento distribuisce la responsabilità sui dati in tutta l’organizzazione. Tre obblighi ricadono in modo particolarmente chiaro sul lavoro quotidiano di chi tratta informazioni dei pazienti.

Sicurezza del trattamento come abitudine quotidiana. L’articolo 32 impone misure tecniche e organizzative adeguate al rischio. In un contesto sanitario significa cifratura e controllo degli accessi, ma anche qualcosa di meno visibile. Ogni persona deve saper gestire l’informazione con cura, non riutilizzare le password, verificare a chi sta inviando un messaggio e capire perché l’accesso a una cartella clinica viene registrato.

Responsabilizzazione (accountability). L’articolo 5 chiede di poter dimostrare la conformità, non solo di essere conformi. Per una struttura sanitaria vuol dire che formazione, policy e registri devono essere documentati e disponibili, perché l’onere della prova ricade sul titolare del trattamento.

Valutazione d’impatto quando il rischio è elevato. Il trattamento su larga scala di dati sanitari richiede di norma una valutazione d’impatto sulla protezione dei dati (articolo 35). Quell’analisi individua i rischi del trattamento e le misure per mitigarli, e spesso mostra che il rischio maggiore sta nel comportamento quotidiano delle persone più che nella tecnologia.

Come si rileva e si notifica una violazione di dati sanitari?

Quando si verifica una violazione di sicurezza che riguarda dati personali, il GDPR fa partire un orologio. L’articolo 33 impone di notificarla all’autorità di controllo entro 72 ore dal momento in cui se ne viene a conoscenza. Se la violazione comporta un rischio elevato per le persone coinvolte, l’articolo 34 impone anche di comunicarla direttamente a loro.

Quel termine si rispetta solo se l’organizzazione se ne accorge in tempo, ed è qui che il fattore umano torna al centro. Secondo il report Verizon DBIR, il fattore umano interviene in quasi 6 violazioni di sicurezza su 10. In sanità, la persona che riceve un’email sospetta o nota un accesso anomalo è spesso la prima linea in grado di dare l’allarme.

La differenza tra notificare entro le 72 ore o scoprire l’incidente settimane dopo quasi mai dipende da uno strumento. Dipende dal fatto che chi ha visto qualcosa di strano sappia cos’è un incidente e a chi segnalarlo senza paura di sbagliare. Costruire questa capacità di rilevamento e segnalazione è un compito di Cybersecurity awareness, non di infrastruttura.

Cosa devi poter dimostrare in un audit?

Di fronte a un’ispezione o a un audit, la domanda non è se l’organizzazione ha fatto una volta una sessione informativa. È se può dimostrare che le persone giuste hanno ricevuto la formazione giusta e che quella formazione si mantiene nel tempo. Tre evidenze fanno la differenza:

  • Registri di formazione per pubblico. Chi ha completato quale contenuto e quando, distinguendo il personale clinico da quello amministrativo o direzionale, perché non tutti trattano lo stesso tipo di dato né corrono lo stesso rischio.
  • Policy comunicate e accettate. Non basta che esista una policy di gestione delle informazioni; bisogna poter mostrare che è stata diffusa e che le persone la conoscono.
  • Tracciabilità delle azioni del titolare. Valutazioni, promemoria, simulazioni e i loro risultati nel tempo, per sostenere la responsabilizzazione dell’articolo 5.

È il lavoro che facciamo in SMARTFENSE ogni giorno, con programmi di Cybersecurity awareness mappati sugli articoli del GDPR, segmentati per pubblico e con l’evidenza di formazione pronta per l’audit. La piattaforma trasforma un obbligo sfumato in registri concreti che il titolare del trattamento può presentare quando gli vengono richiesti.

La conformità vive nelle persone

Il GDPR in sanità non si risolve comprando una tecnologia né firmando un documento. Si regge su professionisti che riconoscono un dato sensibile, sanno proteggerlo e agiscono in tempo quando qualcosa non va. La tecnologia mette le barriere; le persone decidono se rispettarle.

Se la tua organizzazione tratta dati sanitari e vuoi passare dalla buona intenzione all’evidenza dimostrabile, il primo passo è misurare cosa sa e cosa fa il tuo team. Quella diagnosi indica dove sta il rischio reale e da dove iniziare.

Scopri come affrontare la conformità al GDPR partendo dal fattore umano e appoggiati alla piattaforma SMARTFENSE per lasciare ogni obbligo documentato.

Per approfondire obblighi concreti, la Cybersecurity awareness come requisito della protezione dei dati personali, il controllo 6.3 della ISO 27001 sulla Cybersecurity awareness e la profondità tecnica della Direttiva NIS2 per i responsabili della conformità sono buoni punti di partenza.

Andrea Sona

Da anni nel settore informatico, Analista Informatica di professione, negli ultimi anni specializzata in cybersecurity awareness e formazione digitale, attualmente collaborando in SMARTFENSE. Con esperienza nel supportare aziende e organizzazioni nella diffusione della cultura della sicurezza informatica. Appassionata di innovazione e comunicazione tecnologica, contribuisce attivamente al dibattito sulla sicurezza digitale attraverso contenuti divulgativi.

Lascia un commento