Il valore di una cartella clinica venduta al mercato nero ha superato di gran lunga quello di una carta di credito. Da tempo ormai la sanità è al centro del mirino di hacker che nell’ultimo periodo hanno paralizzato intere reti ospedaliere e hanno tentato di introdursi nei sistemi di molte aziende di ricerca.

I dati personali d’altronde hanno dimostrato di essere una risorsa essenziale non solo per i ricercatori, ma per i medici stessi che, grazie alle sorprendenti moli di dataset a loro disposizione, hanno oggi l’opportunità di individuare correlazioni tra patologie e sintomi fino a ieri sconosciuti.

Il Financial Times ha addirittura elaborato un algoritmo in grado di calcolare il valore dei dati in quello che è un vero e proprio mercato di scambio. Ad esempio i dati di una donna in attesa del primo figlio, “valgono” 0,102 dollari, quelli di un diabetico, 0,267, e il valore cresce all’aumento delle patologie, al variare della professione, dell’età e dello stato civile.

Con l’avvento di nuove tecnologie e di nuovi sistemi di condivisione dei dati (5G, blockchain…) i ransomware o gli attacchi DDOS diventeranno sempre più sofisticati. Considerata la sensibilità dei dati sanitari, farsi trovare preparati non è più un’opzione per nessuno.

Trasformazione digitale, data governance concreta e specifica per il settore sanitario

I limiti al momento sono evidenti e vanno oltre l’uso dei servizi cloud-based negli ospedali o il possibile conflitto di interessi che vede coinvolti i DPO in-house. Se da parte dei cittadini si registra una crescente consapevolezza del diritto alla tutela dei  dati personali, la mancanza di standard condivisi per garantire la portabilità dei dati e l’impossibilità per gli interessati di esercitare il proprio diritto alla cancellazione non consentono di dare risposte esaustive.

Assodata la fragilità dei dati anonimi e di quelli anonimizzati, e chiarito che l’uso isolato della sola pseudonimizzazione per tutelare i dati dei pazienti non è sufficiente, è quindi necessario ricominciare con un approccio olistico. Un simile obiettivo non può però essere raggiunto se non abbandonando la convinzione che vede la data protection come un mero adempimento normativo.

È fondamentale ripartire da una nuova visione aziendale che integri le singole misure - tecniche ed organizzative - con un approccio di più ampio respiro. Il primo passo è adattare i processi aziendali già collaudati ai principi della privacy by design e by default, con la consapevolezza che la privacy non è più appannaggio del solo legal o del marketing, ma una funzione che necessita di un mediatore che metta in relazione tutti gli attori dell’ecosistema aziendale.

Photo by National Cancer Institute on Unsplash