ExpoSanità 2012 – Sicurezza e Privacy nel trattamento elettronico dei dati: profili informatici, bioetici e giuridici

Questo è il programma del Congresso che abbiamo organizzato con la Società Italiana di Telemedicina in occasione dell’Exposanità di Bologna dello scorso 17 maggio 2012.

In particolare ho partecipato come relatore alla sessione intitolata “Sicurezza e Privacy nel trattamento elettronico dei dati: profili informatici, bioetici e giuridici” coordinata dalla prof.ssa Carla Faralli e dal Vice Presidente dell’Autorità  Garante Chiaravalloti.

Brevemente una sintesi del mio intervento:

Vi è un aspetto generalmente trascurato in quanto “non istituzionale” o “para-istituzionale” che però in realtà sta progressivamente assumendo un ruolo sempre più importante e che (per come si delinea) può essere idoneo ad impattare in modo estremamente importante sul tema che ci occupa. Si tratta dello sfruttamento delle potenzialità del web (siti, social network, forum, blog, ecc…) al fine di “scambiare informazioni e pareri nonché condividere esperienze scientifiche e umane”, al fine di creare reti di solidarietà e sostegno.

Un provvedimento generale del Garante del 25 gennaio ultimo scorso (pubblicato in Gazzetta Ufficiale il successivo 20 febbraio)  ha preso specifico partito sui siti web esclusivamente dedicati alla salute rilasciando delle linee guida in tema di trattamento di dati personali per finalità di pubblicazione e diffusione. E questo in quanto se da un lato lo scambio di informazioni ed esperienze in rete riveste una grande utilità e rilevanza, dall’altro lato emergono profili di rischio in riferimento alla particolarità dei dati trattati anche in considerazione delle caratteristiche dello strumento impiegato. Per tale ragione il Garante, pur occupandosi solo dei siti esclusivamente dedicati alla salute, ha evidenziato alcuni punti fondamentali e formulato espresse raccomandazioni per i titolari del trattamento che si trovano a gestire questi servizi.

Questo d’altra parte è un singolo aspetto di quello che alcuni definiscono “cloud medicine” ovvero la diffusione e la proliferazione online di informazioni destrutturate e spontanee relative allo stato di salute. Una parentesi, si tratta di informazioni solo apparentemente di utilità strettamente personale e prive di utilità o interesse diffuso, in realtà anche mediante tecniche di OSINT e di analisi testuale automatica o semi-automatica dei contenuti siamo oggi in grado di raccogliere e impiegare a diversi fini e per diversi scopi, sia per incentivare la conoscenza sia per finalità commerciali, le informazioni distribuite nel web.

Chiusa la parentesi torno al cuore dell’intervento. Ad oggi vi sono diversi  strumenti di comunicazione “non istituzionali” che nondimeno vengono spesso utilizzati ad esempio per il dialogo medico paziente.

E questo apre un secondo tema. E’ possibile che nonostante gli interlocutori non vogliano esibire, esporre, rendere accessibili le proprie informazioni personali questo nondimeno accada ? Ed in particolare questo accada in virtù non di frodi o di astute operazioni di ingegneria sociale ma esclusivamente nell’esercizio delle facoltà che i contratti che disciplinano i servizi in argomento riconoscono.

Mi spiego meglio. Prendiamo ad esempio tre servizi che – a prescindere dall’erogatore – possiamo ritenere di uso massivo: l’email, i Social Network; i servizi di Cloud Computing impiegati ad esempio per creare i propri archivi di dati remotizzati. Questi servizi come ognuno di noi sa sono disciplinati tendenzialmente da due documenti contrattuali che l’utente (il medico piuttosto che il paziente) accetta nel momento in cui vi aderisce: si tratta solitamente delle condizioni generali di contratto denominate anche termini di servizio e della privacy policy.

Questi documenti oltre a descrivere il servizio indicano anche – in modo più o meno dettagliato – l’utilizzo che il fornitore può fare delle informazioni che vengono immesse nel sistema dagli utenti.  Per tale ragione è estremamente importante prenderne visione con attenzione e utilizzare in modo corretto i setup che i servizi consentono anche in merito alla condivisione delle informazioni.

[segue analisi di alcuni contratti e policy]

In argomento, da ultimo, oltre a problematiche di natura strettamente giuridiche connesse al trattamento dei dati occorre ragionare anche su eventuali profili deontologici connessi ad esempio alla violazione del segreto professionale. Non mi dilungo oltre.

In conclusione, non ho risposte alle problematiche sollevate se non richiamarmi a quanto emerso nel pomeriggio di ieri in merito alla esigenza ed al ruolo strategico della formazione.

A presto,

m.m.