E' tempo di educare alla privacy
a cura di Grazia Bertiglia, DoRS

  • Pubblicato il 17 Ottobre 2015
  • Aggiornato il 28 Ottobre 2015
  • Recensioni

Alcuni fatti

2 settembre 2015, Londra:  780 persone hanno ricevuto una newsletter dedicata alle persone sieropositive iscritte a un servizio speciale; un impiegato della clinica ha lasciato in chiaro nomi e indirizzi dei destinatari. Una svista, un banale errore in una normale comunicazione elettronica, ma che potrebbe avere conseguenze pesantissime non solo per il danno ai pazienti ma anche per la clinica, che potrebbe andare incontro fino a 500mila sterline di multa (poco meno di 700mila euro), senza contare il danno all'immagine.

7 settembre 2015 Le autorità garanti di 29 paesi nel mondo riunite nella Global Privacy Enforcement Network   (GPEN) hanno pubblicato i dati dello “Sweep day 2015” , una sorta di indagine a tappeto, condotta sui dispositivi elettronici in mano ai bambini dagli 8 ai 13 anni e i risultati, diffusi dalla stampa con un certo rilievo, sono poco confortanti: pesanti violazioni della privacy dei bambini all’insaputa anche dei loro genitori, disattenzione, navigazione non controllata. I dati italiani sono pressoché allineati con quelli generali e mostrano un approccio  poco riguardoso rispetto agli utenti minori. (vedi ALLEGATO)

settembre 2014 Un anno prima, settembre 2014: lo Sweep day 2014 aveva analizzato la “mobile health”, ossia le app e i siti rivolti alla salute, alla fitness, al benessere e aveva evidenziato che, se da un lato meno di un quarto dei possessori di smartphone utilizzava app per la salute, dall’altro lato emergesse che queste app veicolassero i dati a compagnie di profilazione di utenti senza aver chiesto il consenso e nemmeno informato le persone. Le app di carattere sanitario censite allora erano oltre 97000 e fra queste molte erano rivolte anche a persone anziane, a persone con patologie croniche e invalidanti, e non vi erano garanzie della loro efficacia né del loro corretto utilizzo.(vedi ALLEGATO)

2 ottobre 2015, Roma Nel seminario  del Garante per la protezione dei dati personali sui sistemi elettronici in sanità si illustrano i dati sull’utilizzo del Dossier sanitario e l’implementazione del Fascicolo sanitario elettronico. Emerge un quadro in cui spesso non soltanto i pazienti sono ignari del fatto stesso che esista un dossier sanitario dei loro dati presso una struttura (nonché dei relativi diritti connessi), ma anche il personale sanitario e medico non ne conosce l’architettura, l’uso, le regole. In un quadro simile la privacy è ridotta a un mero adempimento burocratico, spesso percepito da una parte e dall’altra come un fastidio. (disponibili slides dott. Filippi)

Governare i sistemi informativi

Questo vario quadro d’insieme conduce ad alcune considerazioni:

  • la disponibilità di sempre più sofisticati sistemi elettronici per trattare i dati allontana non soltanto i pazienti ma anche gli operatori sanitari / non soltanto i bambini ma anche i loro genitori / in fondo un po’ tutti  dalla concreta possibilità di controllare i dati e i sistemi, ma allo stesso tempo porta tutti a un utilizzo pervasivo di questi sistemi nella vita quotidiana, lavorativa e privata, sin dagli anni della scuola elementare.
  • L’utilizzo di sistemi elettronici è di grande aiuto per raccogliere e analizzare dati dei pazienti e può essere un supporto di cruciale importanza in situazioni critiche per la salute. Una elevata condizione (e percezione!)  di sicurezza dei dati favorisce l’adesione dei cittadini/utenti a sistemi informativi sanitari al servizio della salute. Dove il Fascicolo sanitario elettronico è stato adottato da più tempo i dati sono positivi: le persone che rifiutano o chiedono di  oscurare i dati sono meno dell’1%; al contrario un incidente critico quale quello occorso a Londra può causare un danno di immagine alla struttura sanitaria e rapidamente far perdere la fiducia dei pazienti…non diversamente da ogni altro episodio di malasanità. I danni compiuti con mezzi virtuali sono purtroppo ben reali!
  • Il diritto alla riservatezza deve entrare in gioco sin dalle fasi di progettazione dei sistemi informativi (la cosiddetta “privacy by design”) , in modo che essi siano in condizione di rispondere a quanto la legge prevede, ed in particolare consentano agli utenti di conoscere quali dati vengono trattati, da chi e quando e consentano ai gestori di prevenire ogni perdita e dispersione di dati   e individuare, e possibilmente bloccare, ogni attività illecita sui dati. Un sistema di dati ben predisposto può renderli disponibili, con le adeguate garanzie di riservatezza, anche per la ricerca e per il governo dei sistemi sanitari, sempre più alle prese con l’ottimale allocazione delle scarse risorse.

 

Consapevolezza, educazione, empowerment

L'OCSE (organizzazione internazionale per la Cooperazione e lo Sviluppo Economico) ha emesso il 17 settembre 2015 le sue raccomandazioni sui rischi  nel trattamento elettronico dei dati:  rischi di illegalità, di frodi, di riciclaggio, in molti casi associati a violazioni della privacy e furti d'identità.

In questo contesto le Autorità nazionali garanti per la protezione dei dati personali, oltre all’azione di controllo e repressione per l’applicazione delle norme,  stanno sviluppando filoni di ricerca comparata per individuare i problemi comuni e  ricercano le migliori soluzioni per il corretto uso dei dati, nel rispetto dei diritti personali.

L’autorità Garante italiana sta diffondendo materiali informativi, opuscoli, video, fact sheet rivolti al pubblico e agli operatori; non più soltanto provvedimenti, prescrizioni e corpose linee guida per gli addetti ai lavori, ma collaborazione e dialogo specialmente dove i trattamenti sono più delicati e più complessi. Questi temi sono stati parte della giornata informativa organizzata dal Garante per la protezione dei dati personali presso il Ministero della salute lo scorso 2 ottobre su sistemi informativi sanitari.

Il dott. Filippi, segretario dell'Autorità Garante, sollecita a compiere investimenti in progettazione adeguata dei sistemi, in maggiore formazione degli operatori della sanità,  migliore comunicazione con i cittadini-utenti. Non è un'operazione a costo zero, ma le sanzioni e la riparazione dei danni/ l’adeguamento dei sistemi sono sicuramente un costo maggiore anche sul piano meramente economico.

Occorre più in generale far crescere la consapevolezza del diritto alla privacy con azioni di empowerment fra gli operatori e nella popolazione, occorre introdurre questi principi nei corsi di formazione anche a livello scolastico e universitario… allora un domani il diritto alla riservatezza potrà essere percepito come un bene per tutti, allo stesso modo delle cinture di sicurezza che fanno parte della dotazione standard delle automobili e nessuno si sognerebbe di chiedere a un venditore se si possono togliere.

 

Per chi vuole approfondire

SWEEP DAY 2015- la privacy dei bambini: relazione finale (in inglese); commento e dati italiani

SWEEP DAY 2014 - siti e app per la salute:  relazione finale (in inglese)

MATERIALI DIVULGATIVI DEL GARANTE PRIVACY: vai alla raccolta     due VIDEO del concorso per le scuole superiori: pubblica intimità    proteggi il tuo mondo  

14.10.2014 - 36a conferenza internazionale dei  Garanti per la privacy - Dichiarazione su "internet delle cose"

Raccomandazione OCSE 17.9.15 Data Risk Management  doc in inglese


 

TAG ARTICOLO