La risposta di Esaote in un nuovo progetto di conoscenza
Contribuiamo a una società dei dati o a una società della conoscenza? Siamo tutti produttori e consumatori di informazioni che, partendo dai dati (la materia prima della conoscenza) seguono percorsi e processi che danno forma alla consapevolezza, strumento di orientamento in tutti i campi. Le opportunità di raccolta di dati offerte dalla tecnologia possono contribuire a far fare un salto di qualità in termini di benessere alla comunità in cui un’azienda opera, e nel settore medicale questo è un tema tanto più vero quanto più delicato. Le nuove norme europee sulla privacy hanno costretto ogni produttore, gestore, consumatore di dati a farsi domande sulla qualità del lungo processo attraverso cui le micro-informazioni diventano sapere condiviso.
Il ruolo di Esaote
I dati personali attinenti alla salute dei pazienti raccolti con i sistemi di imaging diagnostico durante l’esame clinico costituiscono un patrimonio che, in quanto tale, deve essere messo a valore nel suo percorso di cura, in un equilibrio tra riservatezza e accessibilità, che aiuti a far crescere il rapporto di fiducia fra medico e paziente. Quest’ultimo è basato infatti anche sul rispetto dell’intimità, e sul mantenimento del riserbo relativamente alla storia clinica e personale di chi affronta un percorso sanitario.
Durante la prima giornata del DET, tenutasi al Palazzo della Borsa di Genova per fare il punto su Diritto, Etica e Tecnologia, Giovanni Ferrando, Information Technology e Product Planning Manager di Ebit, ha condiviso l’esperienza dell’azienda di Medical IT del Gruppo Esaote, in tema di privacy. Ebit, che dagli anni ’90 si dedica allo sviluppo di sistemi software per la gestione del processo diagnostico, ha tra le sue priorità anche quella di proteggere i dati raccolti in cardiologia e radiologia durante il processo diagnostico e messi a sistema. Come responsabile esterno del trattamento dei dati l’azienda opera in co-responsabilità con il titolare dei dati, che rimane l’azienda utilizzatrice dei dispositivi medici, la quale mantiene la regia dell’intero flusso di gestione e raccolta del dato e l’onere di dimostrare la conformità di processo.
La capacità di interloquire in maniera efficace ed efficiente, se non addirittura in maniera proattiva, con la grande rete di attori che compongono l’infosfera medicale è elemento al tempo stesso di competitività sul mercato e di responsabilità (accountability) nel fare evolvere al meglio il rapporto fra tecnologia e welfare.
Le misure adottate a seguito della normativa
Mentre la legge 196 del 2003 richiedeva di ottemperare a una serie di misure minime, anche molto restrittive, per dimostrare di essere in regola, il GDPR sposta la responsabilità sui titolari e i responsabili del trattamento nel dimostrare la conformità dell’intero flusso delle attività di raccolta e gestione dei dati nel garantire la centralità del paziente. “Il percorso verso la conformità al GDPR – spiega Giovanni Ferrando – è cominciato valutando cosa era già stato fatto e quale fosse il to be su cui concentrare l’attenzione.”
La riflessione si è focalizzata su quattro punti chiave:
- Scoperta – Dove viene raccolto e memorizzato il dato?
- Controllo – Chi accede al dato? Quali livelli di abilitazione e privilegio nell’accesso vanno disegnati?
- Protezione – Quali controlli di sicurezza già esistono e quali devono essere implementati?
- Report e Revisione – Si ha tutto il materiale per poter produrre e mantenere il documento DPIA (Data Protection Impact Assessment)?
Le tecniche di sicurezza a cui è stato fatto ricorso per integrare le misure già esistenti sono state la cifratura, la pseudonimizzazione, il controllo degli accessi ed il «monitoraggio proattivo».
La difficoltà principale nel contribuire alla conformità di processo di un sistema estremamente complesso, in cui intervengono attori con standard diversi, è quello di far dialogare i diversi linguaggi e approcci. Proprio per questo motivo sono stati creati diversi tavoli di lavoro. Uno di categoria è quello diretto dall’AISIS (Associazione italiana dell’ingegneria clinica) in cui sono state date indicazioni di linee guida alle quali Esaote si attiene; è stato però importante anche il contributo del tavolo interno all’azienda, in cui sono state unite le esperienze ed esigenze di diverse funzioni, dalla Ricerca e Sviluppo alla Direzione Commerciale. Un impegno iniziato da tre mesi che promette di proseguire nei prossimi anni.
Il concetto di Privacy by design
“Un concetto molto bello, coniato da Ann Cavoukian, Privacy Commissioner dell'Ontario (Canada) che ha dato impulso alla nuova normativa europea” afferma Giovanni Ferrando“ è quello di Privacy by design: disegnare le misure di Sicurezza e Privacy in fase di progettazione dei sistemi informativi”.
Il concetto di privacy by design risale al 2010, quando era già presente negli Usa e Canada, ed è stato poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy.
I principi che reggono il sistema sono sinteticamente i seguenti:
- Prevenire, non correggere – I problemi vanno valutati nella fase di progettazione;
- Privacy come impostazione di default – Ad esempio non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo;
- Privacy incorporata nel progetto – È necessario pianificare, per esempio, l'utilizzo di tecniche di pseudonimizzazione o di minimizzazione dei dati;
- Massima funzionalità – L’obiettivo deve essere il rispetto di tutte le esigenze.
“Una delle conseguenze della normativa è stata quella di far assumere alle aziende un approccio basato sulla valutazione del rischio (risk based approach), con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.”
Nuove criticità di sistema
“Tutta l’attività di messa in conformità della nostra piattaforma software non basta a esaurire la conformità di processo, che è un’attività corale di responsabilità del titolare dei dati, generalmente l’azienda utilizzatrice del dispositivo medico. Sarà necessario un profondo lavoro culturale e formativo per abilitare le organizzazioni a gestire al meglio questi cambiamenti. Occorre che le attività dei singoli sistemi non restino oasi del deserto, ma che esistano percorsi continuativi di integrazione dei sistemi informatici pre-esistenti e di facilitazione nella cooperazione sistemica fra chi interviene nella raccolta e gestione dei dati. L’adozione di standard (ad esempio DICOM-TLS) aiuta ma da sola non è sufficiente”.
Leggi altri post di MORE
CNR-Imati e Esaote S.p.A. sostengono il Corso di Dottorato industriale su elaborazione 3D delle immagini per biomedicina e imaging diagnostico.
L'obiettivo di questo dottorato industriale è la formazione di ricercatori e professionisti...
Il senso di indossare la stessa maglietta
Ci siamo fatti raccontare dal team di runners nato fra i nostri corridoi il significato di una gara collettiva e i trucchi per dare il meglio di sè.
L’arte di fare ricerca. Il pensiero laterale al servizio della diagnosi
L’imaging diagnostico è una questione di armonia fra aspetti macroscopici (la conformazione degli organi) e microscopici (risoluzione e penetrazione delle immagini)...