Il vademecum su Cloud e sanità

Tra i più significativi interventi afferenti al rapporto tra i servizi di cloud

computing e il settore sanitario non può essere trascurato il documento che

nel 2013 è stato redatto e pubblicato da Federsanità-ANCI32 e Istituto Italia-

29

Le linee guida in esame illustrano i molteplici vantaggi del cloud computing con espresso riferimento, tra gli altri, alla natura flessibile della fruizione di risorse in modalità on demand (ossia, pagate in base all‟uso), che comporta un investimento iniziale molto basso; ai tempi molto ridotti per l‟avvio della soluzione di DR sono ridotti ; alla notevole facilità ed economicità delle attività di test. Nel documento, però, non mancano aspetti critici connessi alla natura particolare dei servizi cloud che ogni Pubblica Amministrazione deve tenere in considerazione, per le ovvie ricadute in tema di protezione dei dati personali. Dei principali vantaggi e criticità del cloud computing si tratterà più diffusamente nella parte quarta del presente lavoro.

30 _{Il riferimento è alle Direttive 2002/58/CE (cosiddetta “e-privacy”), Direttiva 2009/136/CE}

(che modifica la precedente con l‟inserimento della cookie law) e Direttiva 2009/140/CE. Le ultime due recepite in Italia con i decreti legislativi 28 maggio 2012, n.ri 69 e 70.

31 _{Regolamento del Parlamento europeo e del Consiglio n. 679/2016 relativo alla protezione}

delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

32 _{Dal sito istituzionale, in http://www.federsanita.it/html/chi_siamo/it/presentazione.asp}

“Federsanità-ANCI (Associazione Nazionale Comuni Italiani) è il soggetto istituzionale che

organizza Aziende Sanitarie Locali e Ospedaliere e Conferenze dei Sindaci e che agisce come strumento sul piano della rappresentanza per i Comuni per assicurare i percorsi di integrazione sociosanitaria e socioassistenziale. Nata nell’ottobre 1995 come una Federazione di Aziende USL, di Aziende ospedaliere e di Comuni con l’intento di contribuire fattivamente al processo di aziendalizzazione e di integrazione dei servizi innescato a partire fin dall’inizio

103 no Privacy33. Si tratta di un documento che, a differenza di quelli (di natura istituzionale sopraccitati) non ha un contenuto precettivo ma certamente in- teressante per l‟ampia portata rappresentativa delle due associazioni redattri- ci.

Elemento costante, anche nel vademecum, è il fattore risparmio, quale principale motivo propulsore della scelta di servizi in cloud. Ancora una vol- ta si constata che alla base della scelta vi è l‟abbattimento dei costi fissi per l‟acquisto di strumenti informatici (hardware e software), nonché per la ma- nutenzione e aggiornamento degli stessi. Con la migrazione verso la “nuvo- la” la spesa (certamente ridotta) è esclusivamente concentrata sull‟ottenimento del servizio (e sui relativi livelli) parametrato ai concreti bi-

degli anni '90, nell'ottobre 2006, durante il primo Congresso Nazionale Federsanità-ANCI, si trasforma in confederazione di federazioni regionali. La Confederazione è attualmente composta da 17 federazioni regionali ed annovera tra i propri associati 166 Aziende Sanitarie e le relative Conferenze dei Sindaci”.

33

Dal sito istituzionale, in http://www.istitutoitalianoprivacy.it/it/chi-siamo/ “L’Istituto Italiano

per la Privacy e la Valorizzazione dei Dati (IIP) è un centro di ricerca e di advocacy finanziato anche da soggetti privati (persone fisiche, associazioni, studi legali e aziende anche multinazionali) dedicato alle tematiche della protezione e della valorizzazione dei dati personali, dell’informazione e dell’identità nella società globale dell’ICT. L’Istituto coinvolge e mette in relazione molti tra i migliori specialisti italiani del diritto della privacy ma anche significativi rappresentanti degli ambiti pubblici e privati che con i dati personali, spesso sensibili, lavorano quotidianamente. Operando come think tank, l’IIP è punto di riferimento per gli esperti italiani del “nuovo diritto” e per i diversi player dei mercati ad elevato contenuto tecnologico. L’Istituto utilizza come principali strumenti di azione il sito internet, dove vengono pubblicati i contributi dei propri Soci Fellow e di altri ricercatori, e una newsletter informativa quindicinale con le principali notizie e analisi sulle evoluzioni delle problematiche privacy in Italia e nel mondo. Si organizzano con frequenza trimestrale convegni aperti al pubblico e workshop seminariali a porte chiuse, dove possibile in partnership con realtà universitarie nazionali ed europee, per favorire la formazione dei professionisti e insieme per sensibilizzare i non addetti ai lavori, siano essi operatori di mercato o istituzioni pubbliche: tali incontri vengono sempre trasmessi anche in web-tv e web-radio, attraverso il portale dell’Istituto, e resi disponibili per il download o per la visualizzazione in modalità

streaming. Tra le ulteriori attività, annoveriamo una intensa produzione di articoli e altri

generi di interventi per diversi media-partner (quotidiani, riviste, tv, radio, web), la pubblicazione della Rivista scientifica Diritto, economia, tecnologie della Privacy, alla quale si uniranno in futuro la diretta pubblicazione di libri sulla privacy da parte dell’Istituto e l’assegnazione su base semestrale di borse di studio in materia di diritto dell’ICT, secondo i criteri stabiliti di volta in volta dal Comitato Scientifico e in base alle disponibilità economiche deliberate per ogni esercizio”.

104 sogni di struttura (quindi flessibile). In tal modo, i fruitori del servizio (am- ministrazioni pubbliche e private) realizzano delle concrete economie, che potranno essere reimpiegate in differenti direzioni.

Il fattore risparmio, però, seppure basilare, non è l‟unico ad essere preso in considerazione excursus contenuto nel documento, si pone, infatti, in ri- salto l‟ampia utilità dei sistemi cloud che devono essere pensati e utilizzati “non solo per l’archiviazione o storage di dati sanitari, ma anche per la

fruizione in cloud di potenti applicativi sanitari (ad esempio il FSE) o per lo sviluppo dei medesimi su apposite piattaforme software in cloud”34.

Rinviando alla lettura integrale del vademecum, di seguito si riepilogano le cinque parti principali in cui è suddiviso:

- illustrazione delle caratteristiche essenziali nella scelta del cloud

computing in ambito sanitario;

- analisi delle misure di sicurezza che i soggetti pubblici devono osser- vare quando vanno in cloud;

- esame di alcune specifiche aeree della sanità elettronica (referti on-

line, cartella clinica elettronica e fascicolo sanitario elettronico)

- sintesi per singoli documenti sanitari d‟uso comune, non condivisi in

dossier o fascicolo sanitario elettronico, che possono essere realizzati

con software di lavoro “classici” per l‟ufficio basati sulla tecnologia-

cloud computing (prenotazioni, registri, riepiloghi/report, immagini,

documenti clinici, comunicazioni verso l‟utenza ecc.);

- checklist come strumento pratico per potenziali fornitori che offrono servizi cloud agli operatori sanitari pubblici e, per questi ultimi, come guida utile per la fase di trattativa contrattuale con i suddetti fornitori.