Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il modello

Gdpr, gestione documentale centralizzata (in Sanità e non solo): come funziona

Garantire la sicurezza dei dati della propria organizzazione può essere molto complesso se non si ha sotto controllo il flusso della documentazione prodotta. Ecco i vantaggi della gestione documentale centralizzata e come ci si può mettere in regola senza bisogno di super consulenze e senza spendere cifre esorbitanti

07 Nov 2018

Marco Mencacci

Sistema Informatico Azienda Ospedaliera Santa Maria della Misericordia Perugia

Alfiero Ortali

Direttore UOC Sistemi e Tecnologie Informatiche e di Comunicazione - Asl Roma1


Un sistema di gestione documentale centralizzato permette alle organizzazioni, anche le più complesse come quelle sanitarie, di concentrare tutti i dati e tutte le fasi del trattamento in un unico punto, piuttosto che lasciarle polverizzate in più postazioni, rendendo di conseguenza molto più semplice l’adeguamento agli obblighi del nuovo Regolamento europeo sulla protezione dei dati personali. Spieghiamo di seguito come funziona il sistema.

Comprendere lo spirito del GDPR

Nonostante il GDPR sia entrato a pieno regime nel nostro ordinamento, non tutti hanno infatti ben compreso dove indirizzare l’attenzione e, di conseguenza, le risorse economiche per l’adeguamento dei propri sistemi. Le rassicuranti “misure minime” della vecchia normativa italiana sono state spazzate via dal principio di accountability e in questo clima di incertezza c’è stato purtroppo chi, cavalcando la paura, ha fatto sembrare tutto più complicato di quello che è in realtà.

Se vogliamo “metterci in regola”, prima di affidarci a prezzolate consulenze, dobbiamo comprendere lo spirito del Regolamento. Innanzitutto, il termine accountability non si traduce con “responsabilità” ma con “responsabilizzazione”, meno inquisitorio e più vicino al concetto di “awareness” (consapevolezza): “Bisogna conoscere quello che si ha. Occorre comprendere quali dati si trattano, le finalità per cui si trattano, come avviene tale processo e prendere coscienza dei rischi ad esso correlati. Solo così sarà possibile definire le misure di sicurezza più adeguate”.

Comprendere come vengono gestiti dati e documenti diventa la chiave. Se nella nostra organizzazione manca un sistema software centralizzato, il proliferare di file nelle postazioni di lavoro può diventare la principale fonte di problemi. Non avendo sotto controllo il flusso della documentazione prodotta non siamo in grado di conoscere chi vi ha accesso, quanto sia elevato il rischio di alterazioni, copie o distruzioni accidentali. Non sappiamo neanche bene dove tale documentazione si trovi. È chiaro che con un quadro così fumoso è impossibile garantire sia la sicurezza dei documenti (in termini di confidenzialità, integrità e disponibilità), sia i diritti degli interessati, quali l’informativa completa, il diritto all’oblio e, tantomeno, la portabilità. Se mettiamo a fuoco la gestione dei documenti sanitari, uno scenario come questo ha una gravità di rilevanza penale.

Sicurezza dati: come mettersi in regola senza super consulenze

Anche partendo da uno scenario disastroso è possibile “mettersi in regola”. Non servono consulenti superesperti o corsi avanzati, occorre innanzitutto raggiungere la consapevolezza di quello che si ha. Basta porsi le domande giuste, niente di specialistico. Vanno bene anche le 5W del giornalismo (Who, What, Where, When, Why) o, ancor più lontano dalla tecnologia, i loci argumentorum (quis, quid, quando, ubi, cur, quem ad modum, quibus adminiculis), riformulandone le domande in questo modo:

  • Chi: quali soggetti sono abilitati a trattare i dati personali?
  • Cosa: Quali dati vengono raccolti?
  • Perché: Per quali finalità li raccolgo? A che scopo?
  • Come: Con quali strumenti vengono trattati?
  • Dove: Dove vengono conservati tali dati?
  • Quando: Per quanto tempo è necessario conservarli?

Con quanta più chiarezza riusciremo a rispondere a tali domande, tanto più sarà semplice allineare i nostri processi ad un modello corretto. Identificare con precisione i soggetti coinvolti, le informazioni raccolte, i software o database in cui sono archiviati i dati è un passo fondamentale, sia per formulare l’informativa all’utente, sia per identificare i rischi.

La gestione documentale centralizzata

Quando tutti i trattamenti sono gestiti tramite un sistema centralizzato, la risposta alle domande diventa banale, in quanto basterà indicare il nome del software e il server in cui viene ospitato:

  • Chi? Gli utenti hanno accesso al sistema con password personali e profili di accesso in base ai loro ambiti e compiti
  • Cosa? Il sistema permette di registrare informazioni anagrafiche e una serie precisa di dati, ovvero […]
  • Perché? Il trattamento dei dati è finalizzato all’erogazione della prestazione
  • Come? Il software utilizzato è il prodotto X, fornito dalla ditta Y
  • Dove? Il database è ospi34rgtato nella sala server aziendale
  • Quando? I dati vengono mantenuti per X anni sul server e su nastri di backup. Trascorso tale termine, una procedura automatica cancella quelli più vecchi, secondo i termini di legge

La ditta fornitrice, se effettua manutenzione, sarà nominata responsabile esterno al trattamento e il server che ospita il software sarà verificato e messo in sicurezza. Dal momento che tutti i documenti risiedono in un solo punto, ben protetto, non occorre elevare oltremodo il livello di protezione sulle singole macchine. Qualora si abbiano dubbi sul processo di raccolta dati, sarà sufficiente indirizzare una specifica richiesta alla ditta produttrice del software, la quale dovrà fornire chiarimenti o pianificare degli adeguamenti. L’informativa, redatta su tali basi, recherà informazioni chiare e precise. Le risposte alle sei domande, inoltre, costituiranno la base per il registro dei trattamenti, e il lavoro sarà praticamente fatto.

Le difficoltà della gestione non centralizzata

Se invece la gestione documentale avviene con modelli Word sparsi nei computer, fogli Excel condivisi o programmi in Access? In questo caso rispondere alle domande diventa davvero complicato:

  • Chi? Chiunque abbia accesso ai computer
  • Cosa? Svariate cose
  • Come? Tramite Word, Excel e Access
  • Dove? Ognuno ha una cartella nella propria postazione e poi salva in uno spazio condiviso sul server centrale
  • Quando? I documenti vengono conservati almeno per X anni

Si capisce a colpo d’occhio quanto questa seconda situazione sia più complicata da gestire: non esiste un modello standard per tutta l’organizzazione, non è possibile monitorare cosa facciano gli utenti, non è possibile stabilire chi abbia consultato o cancellato un file nella condivisione e, tantomeno, non è misurabile quanti documenti e quante copie dello stesso documento siano memorizzate nelle varie postazioni di lavoro. Con queste premesse, ogni informativa fornita all’utente risulta incompleta o, comunque, non sottoscrivibile senza sollevare imbarazzanti dubbi.

Se non si conosce cosa proteggere, inoltre, non è possibile garantirne la sicurezza, neanche spendendo cifre esorbitanti.

Perché centralizzare la gestione documentale

Centralizzare significa avere un unico controllo accessi, un’unica macchina da proteggere, un solo archivio da salvare, un unico log per tracciare le operazioni, un unico modello di raccolta dati, un’uniforme gestione di ruoli e permessi e un set standard di funzioni di elaborazione.

Proteggere una singola fortezza, proprio come in guerra, è più facile e meno dispendioso che proteggerne decine o centinaia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4