PRIVACY: servizi cloud nelle strutture sanitarie? Si grazie.

Per ovvie ragioni di costi e ottimizzazione di servizi sempre più strutture sanitarie ricorrono a servizi di cloud. Questo tecnicamente è sicuramente possibile, né la normativa sanitaria impone delle limitazione. Tuttavia, sotto il profilo del trattamento dei dati, la struttura sanitaria (= titolare del trattamento) è chiamata a prestare qualche attenzione e soprattutto regolare i rapporti con il cloud provider con un contratto scritto.

Oltre ad essere oltremodo importante la scelta del Cloud provider, in termini di affidabilità e garanzie anche sotto il profilo della sicurezza, questi a parere di chi scrive alcuni tra gli elementi da pattuire per iscritto:

1. Legge applicabile . Si consiglia di prevedere l'applicazione al contratto della legge italiana,

2. Misure di sicurezza e qualificazione dei soggetti: se il titolare del trattamento è la struttura sanitaria, quale qualificazione giuridica privacy invece per il Cloud provider? A parere di chi scrive sicuramente Responsabile del trattamento, ma può essere anche amministratore di sistema.

3. PLA (Privacy Level Agreement) : il livello di erogazione del servizio che il cloud provider si obbliga ad assicurare.

4. Responsabilità del cloud provider: ad esempio in caso di inadempimento rispetto agli obblighi contrattuali sulla sicurezza dati.

5. Eventuale ruolo di intermediario del fornitore cloud: questo è un caso un po’ più problematico, ma sempre più frequente, che necessita di individuare le responsabilità di tutti i soggetti coinvolti anche se non sottoscrivono il contratto.

6. Localizzazione dei dati: il trasferimento dei dati all’estero necessita di un consenso specifico. È bene quindi contrattualmente definire dove il server cloud si trova per verificare la necessità di ulteriori adempimenti per il titolare del trattamento.

7. Giurisdizione/ foro competente

Un altro elemento che va analizzato è se attraverso il servizio di Cloud vado a creare un Fascicolo Sanitario Elettronico. “Il fascicolo sanitario elettronico (FSE) e' l'insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito”. Si tratta di una definizione normativa di cui all'art. 12, comma 1 del d.l. 18 ottobre 2012 , n. 179, recante “Ulteriori misure urgenti per la crescita del Paese”. La stessa definizione era già presente nelle Linee guida 2010 sul FSE emanate dal Ministero della salute.
In tale caso il titolare del trattamento dovrà implementare gli adempimenti previsti per il FSE.

Questi solo alcuni degli elementi da valutare quando si vuole passare ai cloud per prevenire eventuali problematiche sotto il profilo del trattamento dati.

Per approfondimenti si segnala:
- Garante Privacy nel documento http://www.garanteprivacy.it/documents/10160/10704/1819933
- Manuale predisposto dall’Istituto Italiano Privacy http://www.istitutoitalianoprivacy.it/manualecloudprivacy2013.pdf