Dati degni di particolare protezione e loro gestione: a colloquio con Adrian Lobsiger
I professionisti della salute possono conservare i dati dei pazienti in un cloud? L’invio della foto di una cartella con i dati del trattamento è conforme alle norme in materia di protezione dei dati? E quali conseguenze possono avere le violazioni della protezione dei dati? Adrian Lobsiger, Incaricato federale della protezione dei dati e della trasparenza, fornisce informazioni in merito.
Signor Lobsiger, quali conseguenze possono avere le violazioni della protezione dei dati nel settore sanitario?
Nel settore sanitario, oltre agli attributi personali, quali nome, età, indirizzo e numero di telefono, vengono generalmente trattate informazioni sulla salute e sui trattamenti medici delle persone identificabili. Tali dati personali sono considerati degni di particolare protezione ai sensi sia della vigente Legge sulla protezione dei dati (LPD) sia della nuova Legge. Infatti, se i dati relativi a malattie, predisposizioni, dipendenze o comportamenti a rischio arrivano agli assicuratori malattia, gli interessati potrebbero ad esempio essere esclusi da un’assicurazione complementare o gravati da premi più elevati. O potrebbero diventare vittime di estorsori che minacciano di pubblicare informazioni rubate nel dark web.
E quali conseguenze devono prevedere i fornitori di prestazioni in caso di violazione della protezione dei dati?
Chi tratta dati che devono essere protetti deve poter dimostrare il consenso esplicito delle persone interessate o un altro motivo giustificativo, oppure appellarsi a una base legale sufficientemente specifica. L’elevata necessità di protezione dei dati sanitari si deve riflettere anche attraverso adeguate misure di sicurezza. I requisiti in materia di sicurezza tecnica sono inaspriti dalla nuova legislazione sulla protezione dei dati. Le persone responsabili possono essere sanzionate con multe fino a CHF 250’000 se è possibile dimostrare loro di aver accettato una prevedibile perdita di dati personali sensibili.
« Il segreto professionale del personale medico si applica anche al personale ausiliario, che comprende anche i collaboratori di servizi cloud che hanno accesso ai dati sanitari dei clienti. »
Il trattamento e la conservazione dei dati dei pazienti nel cloud sono una questione sempre aperta nel settore sanitario. A cosa devono prestare attenzione i professionisti della salute?
Si tratta di una questione complessa. L’ordinanza relativa alla Legge sulla protezione dei dati stabilisce che i privati che trattano dati personali devono garantire la riservatezza di tali dati. Per i dati relativi ai pazienti si aggiunge il segreto professionale del personale medico, protetto sul piano del diritto penale. Il segreto professionale si applica anche al personale ausiliario – che comprende ad esempio anche i collaboratori di servizi cloud che hanno accesso ai dati sanitari dei clienti. Il fatto che la protezione dei dati e il segreto professionale siano adeguatamente tutelati, applicabili e sostenuti da idonee clausole di responsabilità, dipende dalla formulazione degli accordi contrattuali conclusi dal responsabile dei dati con i fornitori di servizi cloud.
« Raccomandiamo di rendere anonimi o di crittografare i dati personali trattati al di fuori della Svizzera o di altre regioni con una protezione dei dati adeguata. »
Cosa bisogna tenere presente se la sede del cloud non è in Svizzera?
Se la sede del cloud è al di fuori della Svizzera, si aggiunge l’eventualità che le autorità straniere possano accedere ai dati trattati al suo interno. Nei Paesi con un livello di protezione dei dati equivalente a quello della Svizzera, come negli Stati dello Spazio economico europeo o nel Regno Unito, tali accessi sono effettuati solo nel quadro di un procedimento giudiziario per ordine del tribunale. Per quanto riguarda l’esportazione di dati in altri Stati, invece, occorre considerare che le autorità locali possono avere accesso in modo non trasparente ai dati trattati in un cloud, senza garantire un’efficace tutela giuridica ai gestori del cloud o alle persone direttamente interessate. Purtroppo, non solo gli Stati autoritari, ma anche quelli democratici come gli USA rientrano tra questi Paesi. Ciò rende complessa l’esportazione di dati personali nei cloud gestiti nel territorio statunitense. Sarebbe utile ai fini della certezza giuridica che tra gli Stati Uniti e l’Europa si potesse presto concordare un sostituto del regolamento «Privacy Shield» invalidato. Fino a quando ciò non si verificherà, raccomandiamo di rendere anonimi o di crittografare i dati personali trattati al di fuori della Svizzera o di altre regioni con una protezione dei dati adeguata, in modo che nessuno possa leggerli.
E come è possibile crittografare o rendere anonimi i dati in modo appropriato?
Con l’anonimizzazione, i dati personali vengono trasformati in dati non personali, rendendo impossibile risalire a persone identificabili. Con la crittografia, i dati personali sono resi illeggibili a terze parti. Quest’ultima oggi si trova di fronte a dei limiti tecnici nel caso in cui i dati non debbano essere solo archiviati, ma anche modificati. Tuttavia, lo sviluppo di tecnologie conformi alla protezione dei dati sta progredendo. Pare molto promettente la nuova tecnologia di crittografia omomorfica, che dovrebbe consentire il trattamento attivo dei dati anche in modalità crittografata. Per informazioni dettagliate sulla problematica del trasferimento dei dati all’estero rimando al sito web dell’IFPDT.
« I dati sanitari dell’ambito professionale non possono essere copiati su supporti dati privati né trasmessi su canali privati come WhatsApp. »
Un ulteriore scenario che potrebbe rappresentare un ostacolo nella quotidianità lavorativa di tutti i professionisti della salute: un ASM invia una foto della cartella con i dati del trattamento di un paziente a un medico tramite WhatsApp…
I dati sanitari trattati su supporti dati e infrastrutture del datore di lavoro non possono essere copiati su supporti dati privati come uno smartphone né trasmessi su canali privati come WhatsApp. Un tale comportamento esula dal quadro del trattamento dei dati autorizzato nei regolamenti interni relativi al loro utilizzo e compromette le misure di sicurezza tecniche con le quali le imprese e le strutture sanitarie tutelano le loro infrastrutture.
Nella prima parte dell’intervista Adrian Lobsiger parla dei suoi compiti in qualità di IFPDT, delle caratteristiche specifiche del settore sanitario e delle sfide correlate alla CIP.
La HIN Academy sensibilizza
La HIN Academy di Health Info Net AG (HIN) sensibilizza gli attori del settore sanitario in merito alla protezione dei dati e ai rischi legati alla criminalità informatica. Il nuovo modulo sulla protezione dei dati è dedicato interamente al tema della protezione dei dati. Sono possibili corsi di formazione configurabili individualmente per le istituzioni, così come la partecipazione come singoli individui.
Adrian Lobsiger
Adrian Lobsiger è stato eletto dal Consiglio federale nel novembre 2015 quale Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ed è stato confermato dal Parlamento nel marzo 2016. Nel 2019, il Consiglio federale ha confermato la sua rielezione per un secondo mandato fino alla fine del 2023.
