Page 17 - ISS e Telemedicina
P. 17
Condizioni riferite alla sicurezza dei dati personali e dei dispositivi digitali
presenti al domicilio dell’utente
La gestione delle questioni di cybersecurity e trattamento dati non può essere affidata
all’improvvisazione o peggio abbandonata senza aumentare in modo inaccettabile il rischio di intrusioni, di
attività criminali e di utilizzo indebito dei dati personali sanitari dei pazienti.
Il personale sanitario che agisce in telemedicina è tenuto a osservare le norme relative al corretto
trattamento dei dati personali dei pazienti, nonché a evitare comportamenti che possano facilitare gli
eventuali attacchi.
A questo riguardo, nel chiarire che i comportamenti richiesti ai sanitari a tutela dei dati personali dei
pazienti sono semplici e non presuppongono conoscenze tecniche specifiche, si ricorda che nel sito web
ISS è pubblicato un documento informativo a riguardo dedicato al personale sanitario1.
 Gestione della cybersecurity
Riguardo alla cybersecurity, è corretto insistere affinché i sistemi di tele-controllo medico offrano
garanzie della miglior sicurezza informatica possibile, riguardo allo svolgimento delle attività del
personale sanitario. L’utilizzo di soluzioni estemporanee con piattaforme social incontrollabili è da
riservare a situazioni di estrema ratio, quando sia impossibile in emergenza ricorrere ad altre
soluzioni per gestire il contatto con i pazienti.
D’altra parte, sul versante del paziente non si possono pretendere elevati standard di cybersecurity,
dal momento che, certamente in questa fase emergenziale, per rendere possibili i servizi a distanza
il sistema in telemedicina deve necessariamente fare leva sull’uso dei dispositivi presenti al domicilio
delle persone, affrontando al meglio possibile i rischi a ciò correlati.
Su questo punto è necessario richiedere all’organizzazione sanitaria, per i sistemi digitali impiegati,
le più ampie garanzie possibili rispetto alla cybersecurity e richiedere che gli operatori sanitari
adottino comportamenti di tutela durante il lavoro a distanza. Ancora più importante è informare
adeguatamente le persone a domicilio e senza inutile burocratizzazione delle procedure, in modo
che siano consapevoli dei rischi per la sicurezza dei dati in relazione al sistema che viene utilizzato
e dei vantaggi che il servizio a distanza porta loro.
 Aderenza del sistema al GDPR
I sistemi commercialmente reperibili e dedicati alla sanità sono praticamente sempre aderenti al
GDPR, a cui hanno dovuto necessariamente adeguarsi, prima dell’emergenza sanitaria. Non ci sono
ragioni solide per sospendere l’applicazione di norme già ben recepite in ambito tecnologico e
organizzativo. Se dovessero verificarsi situazioni particolari, derivate dallo stato di emergenza
sanitaria, per le quali l’applicazione delle norme sul trattamento dati dovesse porre pregiudizio
all’erogazione di servizi, sarebbe allora auspicabile la condivisione di specifica soluzione con il
Garante per il trattamento dei dati personali. Va anche considerato che il desistere dall’applicazione
delle regole, anche in caso di emergenza, non trova giustificazione stante la presenza in commercio
di sistemi dedicati aderenti al GDPR.
 Impatto nei servizi delle certificazioni DM dei software
Il tema delle norme relative alla certificazione dei dispositivi medici è complesso e di pertinenza dei
tecnici di settore. La norma principale di riferimento è la Direttiva CE 93/42, nella quale i software
1 Buone pratiche per la sicurezza informatica nei servizi sanitari, Documento di indirizzo del Gruppo di Studio
Nazionale sulla Cybersecurity nei servizi sanitari – scaricabile da:
https://www.iss.it/documents/20126/0/Buone+pratiche+per+la+sicurezza+informatica+nei+serivizi+sanitari+17+06+
2019.pdf/e4e4a032-a489-b8df-f25c-602ebbb38e85?t=1582512681887
11
