La protezione dei dati sanitari negli USA è regolamentata dall’HIPAA (Health Insurance Portability and Accountability Act), una legge federale vigente dal 1996. Eppure, benché si tratti di una legge con sanzioni ben definite, le imprese statunitensi che producono e forniscono dispositivi IoT al settore non hanno alcun obbligo di compliance.
L’assenza di vincoli nel trattamento dei dati sanitari che vengono utilizzati da dispositivi IoT genera una crescente sfiducia nei confronti della tecnologia. Basti pensare a tutto quanto è avvenuto per quanto riguarda i sistemi di tracciamento. Tutto questo porta a una considerazione molto semplice: è inutile emanare una legge per il mondo IT senza concepire un framework che la supporti in modo esteso.
Nel febbraio 2021, per porre rimedio a questo problema, il CDT (Center for Democracy & Technology) e l’eHI (e-Health Initiative) hanno organizzato una conferenza per lanciare il loro nuovo Consumer Privacy framework. La novità consiste nel dare delle direttive di autoregolazione a tutte le aziende IT che lavorano con il settore sanitario negli States.
Si tratta di un nuovo modello che impone severe regole per tutti i fornitori inclusi nella catena del valore sanitario. In primo luogo c’è l’impegno a obbligare contrattualmente i soggetti terzi o i fornitori di servizi a sottostare alle regole del framework stesso pubblicando una lista dei propri affiliati in modo da essere il più trasparente possibile.
Un altro importante obbligo che introduce il framework normativo riguarda lo sviluppo di algoritmi. Secondo le nuove disposizioni non devono contenere bias pericolosi per la privacy degli utenti e garantire la trasparenza della protezione sul dato.
Questi nuovi vincoli al trattamento sono figli anche dei sempre crescenti cyber attacchi ai database sanitari, non solo negli USA, ma in tutto il mondo. Non sono infatti solo gli States a muoversi per una maggior tutela dei propri utenti pazienti.
Anche l’Europa sta alzando il suo livello di tutela dei dati sanitari prestando maggior attenzione alle disposizioni contenute nel GDPR.
Il regolamento IoT nel settore sanitario negli Stati Uniti è quindi, fortunatamente, una porzione di un cambiamento più ampio a livello globale.
Le misure introdotte dal Consumer Privacy framework sono molto restrittive per gli standard americani che si stanno proiettando verso i sistemi di gestione del dato, e del diritto, europei. Proprio l’alto livello di controllo si rivela indispensabile per trovare un punto di equilibrio tra interessi di mercato e data privacy.
Nel settore sanitario, e in quelli affini, il primo passo è conoscere le normative che regolamentano il trattamento dei dati personali a livello europeo. Scaricando, gratuitamente e senza cessione di dati, il terzo Quaderno di ReD OPEN intitolato "I principi generali del trattamento dei dati sanitari" ti sarà possibile affacciarti a queste norme per capire come possono aiutare il tuo business a crescere!
Photo by Artur Łuczka on Unsplash