Perché è importante rispettare gli standard HIPAA in Italia?

Articolo di Elisabetta Perra e Andrea Moi

Postato da Andrea Moi il 17 aprile 2021

Perché è importante rispettare gli standard HIPAA in Italia?


Negli USA l’approvazione della legge federale del ‘96 denominata “Health Insurance Portability and Accountability” ha regolato l’uso, la divulgazione e la protezione dei dati sanitari protetti, in seguito alla digitalizzazione di tutte le informazioni relative alla salute. Le Protected Health Information (PHI), sono informazioni di identificazione personale che si riferiscono a dati anagrafici, condizioni mediche e psicologiche, prestazioni e pagamenti di servizi medici. Come sottolinea Franca, A. (2016), un ospedale, un libero professionista piuttosto che una compagnia di assicurazione etc, devono garantire la sicurezza e la riservatezza delle suddette informazioni sanitarie. Secondo Sabatino, C. (2018) le principali disposizioni della HIPAA concernono le Norme relative alla Privacy, le Norme relative alla Sicurezza e quelle relative alla Notifica delle Violazioni.

1. Norme relative alla Privacy

La norma sulla Privacy delimita l’accesso ai dati clinici (i pazienti detengono il diritto di ottenere una copia della cartella clinica e quello di richiederne una correzione, se necessario) e definisce gli standard per la protezione delle informazioni sanitarie. Quindi per esempio, se non per scopi prettamente sanitari, è vietato rilasciare informazioni ad una banca, Società di Marketing etc, senza l’autorizzazione del cliente.

2. Norme relative alla Sicurezza

La seconda disposizione della HIPAA concernente la sicurezza del PHI elettronico, può essere rispettata con una periodica analisi dei rischi, con un frequente aggiornamento delle applicazioni, usando inoltre, dispositivi di archiviazione dei dati crittografati, che possono portare la sicurezza dei sistemi a un livello superiore. (Franca, A. 2016)

3. Notifica delle Violazioni.

Il terzo punto della HIPAA circa le Norme relative alla Notifica delle Violazioni, prevede di segnalare, entro 60 giorni dalla scoperta, la natura dell’informazione violata, la persona non autorizzata, la misura del danno e quanto quest’ultimo sia stato o meno mitigato. Chiaramente, una divulgazione impropria di dati personali, comporta inevitabilmente sanzioni civili e penali.

The Politics Of The Health Insurance Portability And Accountability Act The Politics Of The Health Insurance Portability And Accountability Act

In Italia sono sempre di più le aziende, i professionisti sanitari e i fornitori che si stanno conformando ai regolamenti HIPAA/HITECH e che utilizzano i sistemi di cloud per trattare le informazioni sanitarie protette (ePHI). Tra i sistemi di cloud più usati che rispettano questi standard e utilizzano servizi HIPAA compliant annoveriamo i Servizi Google Cloud, i Servizi Cloud di AWS e Dropbox.

Il/la professionista in campo psicologico può proteggere i dati personali dell’utenza rispettando il principio di accountability (responsabilizzazione) della HIPAA, che attribuisce al titolare del trattamento dei dati la responsabilità di gestire attivamente i suoi processi decisionali?

Attualmente in Italia vi è una scarsa formazione professionale psicologica in merito agli strumenti tecnici/tecnologici (e le loro implicazione etiche, deontologiche e legali) da utilizzare per proteggere i dati personali dei clienti. La diffusione di prestazioni psicologiche online, che si è notevolmente incrementata in seguito alla pandemia da Covid 19, ha portato ad un aumento dei potenziali rischi legati ad una possibile fuga di dati personali sul Web.

Quindi lo/la Psicologo/a si ritrova quotidianamente a confrontarsi con scenari molto complessi ed incerti. Vi riportiamo alcuni esempi:
“Skype o Zoom sono piattaforme sicure per la tutela dei dati personali?”
“Cosa succede se durante una videochiamata col nostro cliente, subentra una terza persona non prevista nel setting del servizio psicologico offerto?”
“WhatsApp è uno strumento idoneo per tutelare adeguatamente la privacy dei miei clienti?”
“Di chi è la responsabilità del promuovere aziende (private) che non soddisfano il criterio di Accountability (Responsabilizzazione) della HIPAA?”

Rispondere a queste domande non è affatto banale e richiede sia tempo che energie per l’acquisizione di aspetti tecnici e legali, spesso trascurati dai percorsi formativi dedicati a Psicologi e Psicologhe. Sarebbe utile delegare queste competenze specifiche ad esperti/e del settore legale ed informatico, ma nella pratica professionale dello/a Psicologo/a, questa è una prassi poco diffusa per la combinazione di:
Ragioni economiche (soprattutto nel campo della libera professione);
Bassa consapevolezza dei rischi legali/deontologici dovuti ad una mis-conoscenza delle dinamiche digitali e tecnologiche;
Effetto psicosociale di “diluizione” di responsabilità e conformismo dovuto alla pubblica diffusione, soprattutto nel web, di pratiche non corrette.

Occorre notare che qualora per lo/la Psicologo/a non siano chiare le implicazioni e i rischi nell’utilizzo di uno specifico strumento, viene applicato il principio legale secondo il quale l’ignoranza non viene ammessa, (“Ignorantia legis non excusat”). Tale principio è codificato sia all’interno del Codice Deontologico degli Psicologi (si Vedano ad esempio gli articoli 1, 4 e 5) che nel principio di “Accountability” (Responsabilizzazione), che attribuisce al titolare del trattamento dei dati, la responsabilità di gestire e documentare attivamente le sue scelte in merito. E’ dunque assolutamente auspicabile che in primis le istituzioni psicologiche italiane colmino alquanto prima il gap culturale/formativo relativo alle dinamiche legali e deontologiche implicate nell’uso delle recenti tecnologie comunicative, nel rispetto dell’Accountability e Portability sancite dalla HIPAA, ma che nel frattempo i professionisti e le professioniste che operano in campo psicologico attuino delle scelte attente, consapevoli e rispettose della privacy della propria utenza ispirandosi allo standard HIPAA, che da anni ha approfondito ed approfondisce il tema della sicurezza informatica in campo medico.

Se ti è piaciuto il contenuto di questo articolo, metti Mi piace e Condividi!

#hipaa #sicurezza #salute #health #informatica #sicurezzainformatica #psicologiadellasalute #medicina #standard #psicologo #psicologa #psychologist #healthpsychology

Andrea Moi​
Dott. Andrea Moi - Consulenza e supporto psicologico​

Potete commentare questo post su:

𝗣𝗲𝗿𝗰𝗵𝗲' 𝗲' 𝗶𝗺𝗽𝗼𝗿𝘁𝗮𝗻𝘁𝗲 𝗿𝗶𝘀𝗽𝗲𝘁𝘁𝗮𝗿𝗲 𝗴𝗹𝗶 𝘀𝘁𝗮𝗻𝗱𝗮𝗿𝗱 𝗛𝗜𝗣𝗔𝗔 𝗶𝗻 𝗜𝘁𝗮𝗹𝗶𝗮 [𝘼𝙧𝙩𝙞𝙘𝙤𝙡𝙤 𝙥𝙚𝙧 𝙋𝙨𝙞𝙘𝙤𝙡𝙤𝙜𝙞/𝙜𝙝𝙚] di Elisabetta Perra e Andrea...

Pubblicato da Dott. Andrea Moi - Consulenza e supporto psicologico su Domenica 18 aprile 2021

Fonti e sitografia

- ManageEngine (2020). “Hipaa compliance. Rispettiamo la conformità”. Disponibile, 21 Aprile 2020 Da https://blog.manageengine.it/hipaa-compliance/

- Adriana, F(2016,04,12). “La violazione dei dati sanitari sta assumendo dimensioni enormi”. Disponibile, 04 Dicembre 2016 Da https://www.kanguruitalia.it/la-violazione-dei-dati-sanitari-sta-assumeno-dimensioni-enormi/

- https://www.msdmanuals.com/it/casa/aspetti-fondamentali/questioni-legali-ed-etiche/riservatezza-e-legge-hipaa

Placeholder text by Andrea Moi.
Photographs by HIPAA Document.