Sanità e cloud computing: un connubio possibile, ma ancora a rischio…
Sono diversi i fattori che ostacolano o comunque rallentano l’adozione del cloud computing da parte di imprese e organizzazioni. Tra questi, in primo piano ci sono le problematiche di gestione del rischio e quelle relative alla sicurezza e alla privacy. Se ne è parlato in occasione del convegno dedicato al “Cloud Computing per la Sanità Digitale”, organizzato da FORUM PA e Ulss 8 di Asolo ,che si è svolto il 18 ottobre 2011 a Castelfranco Veneto. Cosa è emerso? Lo abbiamo chiesto a Paolo Balboni, Responsabile Affari Esteri e Cloud Computing Sector Director dell’Istituto Italiano Privacy, direttore della European Privacy Association e partner di ICT Legal Consulting, relatore al convegno e moderatore della sessione dedicata ad “Aspetti legali di Cloud e Privacy”.
25 Ottobre 2011
Michela Stentella
Sono diversi i fattori che ostacolano o comunque rallentano l’adozione del cloud computing da parte di imprese e organizzazioni. Tra questi, in primo piano ci sono le problematiche di gestione del rischio e quelle relative alla sicurezza e alla privacy. Se ne è parlato in occasione del convegno dedicato al “Cloud Computing per la Sanità Digitale”, organizzato da FORUM PA e Ulss 8 di Asolo ,che si è svolto il 18 ottobre 2011 a Castelfranco Veneto. Cosa è emerso? Lo abbiamo chiesto a Paolo Balboni, Responsabile Affari Esteri e Cloud Computing Sector Director dell’Istituto Italiano Privacy, direttore della European Privacy Association e partner di ICT Legal Consulting, relatore al convegno e moderatore della sessione dedicata ad “Aspetti legali di Cloud e Privacy”.
“Sono tre i punti principali emersi dal convegno e che vorremmo consegnare alle istituzioni europee – sottolinea Balboni –. Il primo riguarda la necessità di rivedere e armonizzare l’impianto normativo a livello comunitario e il momento è propizio, visto che siamo in fase di revisione della direttiva europea in materia di protezione dei dati personali e di determinazione del piano di azione europeo sull’e-health 2012-2020. Il secondo punto riguarda la determinazione delle responsabilità nella filiera di erogazione e di fruizione dei servizi in modalità cloud computing. Bisogna superare i formalismi nella distinzione tra titolare e responsabile del trattamento dei dati e concentrarsi su una chiara individuazione degli obblighi e delle responsabilità dei player di questa filiera, cioè di coloro che partecipano alla fruizione e all’erogazione del servizio. Infine, terzo punto, bisogna semplificare le norme sia in materia di tutela dei dati personali che in materia di sanità digitale, in nome di una garanzia effettiva e non teorico/burocratica dei diritti del soggetto interessato (paziente). Ci deve essere un numero giusto di regole chiare, non una sovra-regolamentazione che di fatto non viene poi applicata”.
“Per quanto riguarda la protezione dei dati personali – spiega Balboni – la direttiva europea è stata recepita nei 27 Paesi membri in 27 modi diversi. I principi sono comuni, ma nella sostanza ci sono molte differenze e questo crea disomogeneità. Uno degli aspetti più critici è il fatto di non riuscire a determinare chiaramente se il fornitore di servizi cloud sia un responsabile o un titolare del trattamento. In questo modo è difficile allocare obblighi e responsabilità correlate all’erogazione e alla fruizione di questi servizi e, di conseguenza, fare quella classica valutazione del rischio che serve sia al fornitore che al cliente. Non si ha il controllo completo su quello che potrebbe essere il rischio legale e, di conseguenza, è difficile prendere una decisione informata”.
Le soluzioni cloud prevedono la circolazione di informazioni e dati che, nel caso della sanità, sono sensibili; si tratta di una circolazione su ampia scala, a livello anche planetario, se non limitata contrattualmente. “Ad oggi – sottolinea Balboni – la normativa non è adatta a supportare questa circolazione extra europea dei dati. Se poi parliamo del fattore sicurezza, anche in questo caso la disomogeneità è forte e ci sono livelli diversi all’interno dei 27 stati membri. Questo ha un notevole effetto sul mercato: un fornitore di servizio dovrebbe variare le proprie misure di sicurezza al variare della nazione dove eroga questi servizi, o meglio, di dove ha la sede legale o risiede il potenziale cliente.”
Questa situazione “indefinita” può essere tollerata da un privato che, per motivi di risparmio economico, decide comunque di rischiare; ma nel pubblico il discorso cambia, qui c’è un problema di governo dei dati, ancora di più quando si parla di dati sanitari. E se da una parte le amministrazioni, che devono continuare a fornire servizi al cittadino con un budget sempre più ristretto, guardano in positivo alle soluzioni cloud, dall’altra non riescono a fare una valutazione del rischio, non trovano regole chiare e, quindi, la migrazione verso questa tecnologia si blocca inesorabilmente.
Le imprese e anche le amministrazioni, in pratica, hanno ormai compreso le opportunità che le tecnologie cloud offrono, ma non riescono a sfruttarle perché i rischi sono ancora troppo alti, in particolare nel settore sanitario.
“Insomma – sottolinea Balboni – non vale più la domanda se il cloud è pronto per la sanità digitale. La risposta è sì, i servizi cloud sono pronti. E nemmeno se i fornitori di servizi sanitari sono pronti per il cloud; anche in questo caso la risposta è sì, sono consapevoli del fatto che il cloud potrebbe migliorare le prestazioni sanitarie perché le razionalizzerebbe, eviterebbe molte duplicazioni di dati personali nei vari database di ulss, ospedali e così via, quindi ci sarebbe una maggiore velocità e disponibilità dei dati e una minore possibilità di corruzione degli stessi. Il vero ostacolo è la struttura legale, assolutamente inadeguata a supportare questa rivoluzione e a consentire allo stesso tempo la tutela del diritto alla cura e la tutela dei dati personali del paziente”.
Secondo Balboni, quindi, non è il cloud a generare problemi di sicurezza, anzi. “Basti pensare – sottolinea – alla disponibilità di investimenti economici proprio sul fattore sicurezza e alla professionalità in materia che può garantire un grande fornitore di servizi cloud rispetto a un fornitore di servizi sanitari, ad esempio una piccola ulss. Il cloud può dare maggiore sicurezza, ma deve essere abilitato da un impianto normativo coerente”.
Ecco, quindi, i tre punti da cui siamo partiti. “Il cloud è stato un elemento perturbante, per cui è naturale che l’impianto normativo esistente si sia rivelato inadeguato. Abbiamo bisogno di una revisione illuminata dei principi generali sul trattamento dei dati personali, che ormai sono datati 1995. Inoltre bisogna lavorare, in particolare, sul nuovo piano d’azione per la sanità digitale europea. Infine, in tema di privacy c’è un nuovo principio che dovrebbe trovare attuazione nella nuova direttiva o regolamento, ovvero il concetto di privacy by design. I servizi e prodotti (cloud) dovranno nascere con caratteristiche volte a tutelare la privacy secondo, per esempio, le misure di sicurezza previste dalla legge. In questo modo, si passerebbe da una tutela dei dati personali che è tutta in mano all’uomo, a un sistema in cui la tecnologia è già “abilitata” al rispetto della normativa. Questo, naturalmente, sarebbe un passaggio importante, perché non dobbiamo mai dimenticare che la compliance sulla privacy non è una mera compliance burocratica, fatta per evitare sanzioni, ma nasce per tutelare i diritti del soggetto interessato, in questo caso del paziente”.
