- Advertisement -
Dati sanitari e privacy: se una lastra di Valentino Rossi vale oro

Dati sanitari e privacy: se una lastra di Valentino Rossi vale oro

Come verranno gestiti i dati medici che confluiranno nei Fascicoli Sanitari Elettronici? Ecco cosa succederà alle informazioni sulla salute individuale di ognuno.

Lucio Cristino

27 Gennaio 2021

In principio era Valentino. Rossi, il più noto campione di Moto Gp, si era ritrovato sui social non tanto per la foto con la gamba ingessata, ma per la lastra che documentava la frattura di tibia e perone.

Siamo nel settembre 2017, e quella radiografia rubata da un dipendente degli Ospedali Riuniti di Ancona, dove si era sottoposto a un delicato intervento post infortunio, era finita su Facebook. È la versione 2.0 del corpo del santo, da esibire non nella cripta della cattedrale di Tavullia, perché per fortuna Valentino è vivo e vegeto, ma nella profanità di un social network.

Seguirono sdegno e indagine interna, e qui venne il bello: si scoprì che erano stati un centinaio i dipendenti dell’ospedale marchigiano entrati a curiosare nell’archivio interno, lasciando tracce. Il passo successivo fu una tirata d’orecchie, senza sanzioni, con una raccomandazione: la richiesta e il consiglio di evitare, in futuro, nuovi accessi alla rete aziendale.

Il deep web: se la lastra di Valentino vale migliaia di euro

“Immaginiamo quanto possa valere la cartella clinica di Valentino Rossi o di Ronaldo nel deep web”, spiega Michelino Occhionero, avvocato esperto di privacy.

Migliaia di euro”, prosegue, a dare conto di un mondo sommerso dove ci si rifà un’identità, si comprano carte di credito clonate, e soprattutto “potenzialmente si può accedere a informazioni sanitarie sensibili per finalità poco chiare”: ricatti, operazioni di spionaggio, indagini su commissione.

È la realtà che ha superato la sceneggiatura hollywoodiana.

“Dittatura sanitaria” e altre bufale: cosa c’è dietro

Il tema torna d’attualità nei giorni in cui alcuni siti di bufale, dietro la maschera della “controinformazione”, hanno messo in guardia dalle modifiche alla gestione del Fascicolo Sanitario Elettronico (FSE) che “metterebbero a rischio la nostra privacy”, con conseguente “dittatura sanitaria alle porte”.

Il rimedio: “Opporsi entro l’11 gennaio 2021 all’inserimento dei propri dati”. Una fake news, alimentata da un errore della regione Liguria, che aveva inizialmente comunicato questa scadenza generando confusione.

La base è il consenso: autorizzo, quindi esisto

Alla base di tutto c’è il “decreto Rilancio”, voluto dal governo, che ha semplificato l’accesso al Fascicolo, ovvero la nostra storia sanitaria in formato digitale.

Si prevede in particolare che, a decorrere dal maggio 2020, “a prescindere da qualsivoglia manifestazione di consenso dei cittadini, i dati di tutte le prestazioni sanitarie fruite vadano a confluire automaticamente nel FSE”. Insomma, volenti o no, i nostri dati finiranno nel Fascicolo, anche per le prestazioni fuori regione. I dati però – è bene chiarirlo – non saranno accessibili al personale sanitario pubblico o privato senza il consenso dell’interessato, criterio guida dietro tutto.

Le eccezioni riguardano le regioni e il Ministero della Salute, che potranno trattare questi dati per finalità di governo e di ricerca, ma in forma anonima, e nel rispetto dei principi di necessità. Sarà comunque possibile chiedere e ottenere l’oscuramento dei dati e dei documenti sanitari, sia prima dell’alimentazione (inserimento dei dati) del FSE sia successivamente.

Chi accede al Fascicolo: non il datore di lavoro

“Teniamo conto – prosegue l’avvocato Occhionero – che non possono accedere al Fascicolo sanitario le compagnie assicurative e i datori di lavoro. Faccio un esempio: se io ho un sinistro in base al quale chiedo un risarcimento, l’accesso alla cartella clinica elettronica sarà limitato alla precisa circostanza alla base dell’incidente, e non alla mia storia clinica”.

Lo stesso può valere per una polizza vita: “La compagnia non può accedere ai miei dati – spiega il legale – ma può eventualmente chiedere che io mi sottoponga a visita medico legale, che è una cosa molto diversa”.

Uno pseudonimo ci salverà: Vale Rossi come Mario Bianchi

Così, se è il consenso il criterio-guida e se i dati possono essere utilizzati all’esterno per finalità di ricerca solo in forma anonima, la discussione è sulla protezione dei dati, ovvero quali metodi vengono utilizzati per difendere questi dati sensibili, o dati particolari secondo il Gdpr, il regolamento europeo in tema di privacy, recepito in Italia nel maggio 2018.

“Tecnicamente nessun dato è sicuro al 100 % – spiega Occhionero – perché un attacco hacker, o una perdita, o una violazione di dati (data breach, N.d.R.) possono sempre avvenire. Sono i protocolli di sicurezza a fare la differenza”.

Ovvero, dato il consenso, è più una questione tecnico-informatica, per cui se io rubo una cartella clinica posso sapere che cosa c’è scritto, ma al posto del nome troverò un codice o un altro nome e quindi non saprò di chi è. Ne consegue, per tornare alla lastra di Valentino Rossi, che “so che c’è una frattura, ma non so che è del campione mondiale di Moto Gp”.

In termini tecnici si tratta di dati pseudonimizzati, ovvero dati che “a prescindere dal consenso dell’assistito, possono essere consultati dagli organi di governo sanitario per svolgere le relative funzioni istituzionali come la programmazione delle cure e la gestione delle emergenze sanitarie”. Conosco il contenuto, ma non so di chi sono.

E se anche dovessi trovare un operatore sanitario infedele o hacker, che cosa succede? “Nei casi in cui i dati non fossero pseudonimizzati teniamo presente – prosegue il legale – che ogni accesso lascia tracce, per cui io so chi, in quale struttura e in quale momento vede cosa, dei miei dati sanitari”.

Ogni giorno cediamo milioni di dati ai privati

Così torna il tema dei temi: è necessario fidarsi più di una struttura pubblica o di una multinazionale che possiede i nostri dati? Ovvero: vogliamo prendercela con il ministero e la presunta “dittatura sanitaria” mentre affidiamo migliaia di dati a Google e Facebook?

“Pensiamo ai documenti d’identità mandati via WhatsApp”, dice il legale. “Quando avanziamo dubbi sulla privacy, ci chiediamo se la nostra carta d’identità mandata con foto via social sia sicura?”

Il tema comune, dunque, torna a una questione di cultura e scarsa comunicazione. Chiude l’esperto: “Di Fascicolo Sanitario Elettronico si parla poco, e in più per diverse persone anziane, a bassa informatizzazione, l’accesso con lo SPID per esempio è ancora un limite”.

Con una pandemia che ha accelerato il ricorso al digitale, e posto problemi molto grandi sulla privacy, sapere di controllare la nostra storia clinica ci rassicura anche sul prossimo fan che vorrà rubare e pubblicare la lastra di Valentino. Il campione saprà dove, come e quando, hacker permettendo, è avvenuto l’accesso, e non ci sarà una raccomandazione di un ospedale a dire: “Non lo fate”. Deciderà Rossi in autonomia, sul da farsi.

In fondo, a uno sponsor che gli dirà “devi correre comunque”, potrà rispondere con celerità: “Ho le prove del mio infortunio”. A patto di non inviare la lastra via WhatsApp.