La digitalizzazione del settore sanitario ha dato vita a rinnovate esigenze di protezione di dati personali. C’è oggi una sempre maggiore necessità di scambiare informazioni di salute tra più soggetti, dal paziente stesso ai professionisti e alle strutture implicati nei processi di cura. Queste aumentate comunicazioni e condivisioni di dati, richiedono quindi l’impiego di misure di sicurezza al passo con l’evoluzione tecnologica. La pseudonimizzazione dei dati sanitari può essere applicata per proteggere la riservatezza dei pazienti, sostituendo gli elementi identificativi con i cosiddetti pseudonimi.
Pur rimandando a una terminologia tecnica, la pseudonimizzazione è citata ben 14 volte dal Regolamento Generale sulla Protezione dei Dati (GDPR). Se ben applicata, è infatti una soluzione utile per soddisfare gli adempimenti relativi alla privacy-by-design (Art. 25 GDPR) e di sicurezza generale dei trattamenti (Art. 32 GDPR). Ecco perché tutti i professionisti IT e sviluppatori informatici, specialmente del settore sanitario, dovrebbero conoscere e applicare correttamente queste tecniche. Vediamo alcune raccomandazioni sul tema, presentate il 24 marzo 2022 dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA).
Indice
Digitalizzazione e sicurezza dei dati in ambito sanitario
Apriamo con qualche riflessione sul trattamento dati nel contesto sanitario.
Il paradigma di raccolta dei dati del paziente solo in fase di ospedalizzazione è ormai superato. Con l’uso diffuso di cartelle cliniche elettroniche, app sanitarie e dispositivi indossabili, le fonti di raccolta di informazioni sanitarie si sono moltiplicate. Si parla, ormai, di “sistema sanitario distribuito”. Un sistema che, adattandosi alla necessità di trasmettere informazioni in una rete composta da molti nodi, può tenere il paziente più vicino a casa.
Tra gli impatti di questo cambio di paradigma, vanno considerati anche:
- un maggior numero di soggetti che interagiscono tra loro e partecipano al trattamento di dati;
- maggiori quantità e varietà di dati raccolti; e, soprattutto,
- un grande aumento di database sanitari e di processi atti alla loro elaborazione.
Le massicce quantità di dati non sono un problema, ma anzi procedono in parallelo con lo sviluppo di intelligenza artificiale applicata alla diagnosi, al trattamento e alla gestione complessiva delle attività di cura. D’altra parte, anche la sicurezza informatica deve evolversi di conseguenza ed essere correttamente applicata per la mitigazione dei rischi di violazione dati. (Scopri anche il Manuale “La tutela dei dati in ambito sanitario”)
La protezione dei dati sanitari e delle infrastrutture informatiche del settore medico è infatti considerata ad alta priorità. Tutelare riservatezza, disponibilità e integrità dei dati medici è essenziale per garantire cure mediche tempestive, appropriate e senza interruzioni. In questo contesto, la pseudonimizzazione dei dati sanitari può offrire forti garanzie per la protezione dei dati personali e la salvaguardia dei diritti e delle libertà degli individui.
Pseudonimizzazione vs. anonimizzazione
Il Reg. UE 2016/679 (GDPR) definisce la pseudonimizzazione come
il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive […]
Chiaramente, in un processo di pseudonimizzazione corretto ed efficace, tali “informazioni aggiuntive” (talvolta anche “chiavi per la re-identificazione”) devono essere conservate in maniera sicura e separata dai dati pseudonimizzati.
L’informazione anonima, invece, non si riferisce affatto a una persona fisica identificata o identificabile. Al contrario del dato pseudonimizzato, quindi, il dato sottoposto ad anonimizzazione non consente più il processo inverso e la re-identificazione dell’interessato.
Ultime considerazioni: pseudonimizzazione e anonimizzazione sono entrambe operazioni di trattamento eseguite su dati personali. Pertanto, sono comunque da svolgere nel rispetto del GDPR. La stessa logica, però, non si applica a pseudonimi e dati anonimi: mentre i dati pseudonimizzati rimangono dati personali, e in quanto tali, soggetti alla piena applicazione del GDPR, i dati anonimizzati fuoriescono dall’applicazione della norma.
Tecniche di pseudonimizzazione dei dati sanitari
Non esiste un’unica soluzione per applicare la pseudonimizzazione. A seconda dello scenario specifico e dei relativi requisiti di contesto, tecniche diverse possono fornire vari risultati. Ecco una panoramica delle principali tecniche, organizzate secondo un grado crescente di complessità.
Data la varietà di procedure disponibili, definire fin da principio scopi e obiettivi è molto importante. Oltre alla tecnica di pseudonimizzazione da applicare, la progettazione dovrà poi prevedere misure adeguate alla protezione delle informazioni/chiavi con cui si associa il dato identificativo al suo pseudonimo.
Politiche di pseudonimizzazione dei dati sanitari
Le tecniche descritte sopra si differenziano molto l’una dall’altra. Non solo in termini di complessità, ma anche per caratteristiche di sicurezza, in termini di tutela dell’integrità o della riservatezza dei dati oggetto di protezione. Una funzione Hash (semplice), ad esempio, può contribuire significativamente all’integrità dei dati, ma è vulnerabile ad attacchi informatici “brute force” o di dizionario.
A seconda del contesto di applicazione, andranno quindi attuate tecniche di pseudonimizzazione adatte. Una politica di pseudonimizzazione non può, in particolare, prescindere dal tenere in considerazione il grado di “randomizzazione” dello pseudonimo. La scelta ricade in tre opzioni:
- Pseudonimizzazione deterministica. Allo stesso dato corrisponde sempre lo stesso pseudonimo
- Pseudonimizzazione randomizzata del documento. Allo stesso dato corrisponde lo stesso pseudonimo solo all’interno di un ambito coerente (ad es. in un singolo database; se il dato è ripreso in un secondo database, gli sarà assegnato uno pseudonimo diverso)
- Pseudonimizzazione completamente randomizzata. A uno stesso dati corrispondono pseudonimi sempre diversi, anche se viene ripetuto (ad es. più volte all’interno di uno stesso database)
Pseudonimizzazione dei dati sanitari: qualche esempio
Ecco tre casi (semplificati) presentati da ENISA nel suo report.
Caso 1: comunicazione dati di un paziente
La paziente Anna si sottopone a una serie di esami in un laboratorio specializzato. I dati saranno poi esaminati dal suo medico curante. In occasione della prima visita al laboratorio, in fase di raccolta delle informazioni di base, ad Anna viene assegnato un ID_paziente. I risultati degli esami sono associati al suo ID_paziente, e non ai dati identificativi. Un semplice COUNTER risulta efficace, poiché il numero progressivo dello pseudonimo consente già di archiviare separatamente i dati identificativi e i dati sanitari. Nel momento in cui Anna chiede copia dei risultati, il laboratorio li recupera a partire dall’ID_paziente.
Tuttavia, se la paziente chiede l’invio diretto degli esami al suo medico curante, c’è il rischio di compromettere la segretezza dello pseudonimo. L’ideale è quindi condividere col medico solo i risultati, e non anche l’ID_paziente. O, tuttalpiù, ridurre i rischi comunicandolo una sola volta e con una modalità sicura.
Caso 2: Studi clinici
Nello scenario tipico di uno studio in doppio cieco, i ricercatori distinguono il campione di pazienti in due sottogruppi. Il primo, destinato alla somministrazione del farmaco in sperimentazione, il secondo alla somministrazione del placebo. Né i partecipanti, né i ricercatori sanno chi è assegnato a quale gruppo. In questi casi, l’identità dei partecipanti non è direttamente rilevante, per l’analisi e il confronto dei dati raccolti durante la sperimentazione. Non è tuttavia difficile che il paziente possa essere identificato indirettamente dalle informazioni raccolte.
Per evitare di esporre i pazienti a una re-identificazione non autorizzata, si possono sommare due tecniche di pseudonimizzazione. Mantenendo semplice l’approccio:
- In primo luogo, si applica una pseudonimizzazione ai dati identificativi di ogni partecipante;
- Inoltre, una seconda tecnica di pseudonimizzazione viene applicata ai dati dei parametri clinici.
In questo modo, il team di ricerca può svolgere liberamente le analisi statistiche elaborando gli pseudonimi (es. relativi ai dati dei sintomi), senza mettere a rischio l’identità dei pazienti, che potrà comunque essere recuperata in caso di necessità (es. patologie scoperte dal team di ricerca da segnalare alla struttura ospedaliera che ha contatti col paziente).
Caso 3: Automonitoraggio del paziente tramite wearables
Gianni ha ricevuto una diagnosi di malattia cardiovascolare e aritmia. Da allora, utilizza un dispositivo indossabile per monitorare la frequenza cardiaca e rilevare valori anomali che possono aumentare il rischio di ictus. Gli stessi alert sono notificati anche al suo medico curante che lo supporta nelle azioni preventive. Il medico non riceve dati sanitari collegati al profilo di Gianni, bensì al suo pseudonimo, che sa essere collegato a Gianni. In questo caso, la pseudonimizzazione rappresenta una misura di sicurezza che aumenta la riservatezza delle informazioni in fase di trasmissione.