Medici miopi.

Medici miopi.

Premessa interpretativa: non sono affatto di buon umore. 

C'è chi frequenta ambienti sanitari per lavoro, chi per dedizione verso il prossimo, chi per farsi curare. Di solito li frequento in veste di consulente, di DPO o di formatore. Da qualche giorno sono fisso in reparto per necessità e non ho alcuna predisposizione al divertimento, ai passatempi, ai giochetti retorici. Peraltro, rischio anche di essere ricoverato perché ho valori di cristomadonio da record.

A causa delle circostanze, sono incline a mandare preventivamente affanculo molta gente, incluso chi ritenga che io non possa conoscere bene entrambi i mondi: quello della sanità e quello della privacy.

Chiunque arriverà qui a dirmi che, a suo parere, tra privacy e salute c'è una netta priorità e che, tra le due, viene prima la salute, riceverà uno speciale vaffanculo, autografato su pergamena. Un pezzo da collezione.

Da queste parti il tempo è una risorsa scarsa, quindi non mi dilungo e arrivo al punto.

Anche un bambino di età prescolare riconosce l'evidenza: se esiste un modo per fare bene le cose, a parità di sforzo, è molto stupido farle male.

In ambito sanitario si incontrano spesso esigenze primarie, importanti, questioni di vita o di morte... di quelle che, se si comprime il lato sanitario, la gente muore e, allora, non gli serve più la privacy. 

Può quindi capitare che un paziente, ricoverato per una grave patologia, necessiti di supervisione continua, in interventi tempestivi e corretti in funzione della sua particolare situazione.

Come facciamo? Gli mettiamo un braccialetto con codice a barre per consentire ai medici, agli infermieri, agli specialisti, all'amministrazione e a chiunque abbia un valido motivo di poter leggere tutto, la cartella clinica, la patologia, la terapia, vita ... e miracoli.  Quanto alla morte cerchiamo, appunto, di evitarla.

Ma il braccialetto con codice a barre non è molto pratico, richiede un terminale, un computer o uno smartphone per essere letto e per consentire la consultazione dei dati. Il codice a barre è perfetto per le macchine ma è pessimo per aiutare gli umani che devono intervenire rapidamente in caso di necessità.

Cosa si fa, dunque?

Me lo immagino il luminoso pensiero nella testa del genio della medicina: "qui la gente muore e la privacy non gli serve, quindi mettiamo un bel braccialetto esplicito e tanti saluti ai talebani e alle vestali".

Eccolo

(foro da internet, nulla ha a che vedere con me o i miei cari)

Risultato: infermieri e dottori possono intervenire immediatamente senza dover consultare cartelle cliniche e possono salvare la vita del paziente.

Peccato che il paziente viene (inutilmente) spogliato del diritto di condividere (e di non condividere) informazioni relative al proprio stato di salute con altri pazienti, con i famigliari in visita, la moglie, gli amici, il capo... il paziente non potrà più dire a sua figlia: "ciao tesoro, sto guarendo, ci vediamo presto a casa, intanto lucida la moto così ci facciamo un bel giro insieme". 

Certo, se questa fosse una necessità, andrebbe semplicemente accettata. Purtroppo, le cose non stanno così, non è affatto una necessità, è semplicemente la scelta stupida di una capra ignorante che non sa fare il proprio mestiere, oppure è un atto di crudeltà di una persona malvagia.

Per fortuna esistono posti dove le persone, di fronte alla stessa identica situazione, con le stesse identiche pressanti e prioritarie necessità terapeutiche, continuano a far funzionare il cervello e, se necessario, consultano un collega per capire come salvare capra e cavoli, cioè, come fare contento il cerusico senza privare il paziente della sua dignità.

Ecco il risultato:

(foro da internet, nulla ha a che vedere con me o i miei cari)

In questa struttura, l'indicazione lampante agli occhi del personale che ha la necessità di sapere. Lo stesso braccialetto è abbastanza generico da consentire al malato di dire qualsiasi cosa lui voglia alla persona che, di volta in volta, ha davanti: alle figlie potrà dire che è una sciocchezza, con gli amici progetterà la prossima sfida a calcetto, al capo chiederà come vanno le cose in sua assenza, sfottendolo perché senza di lui va tutto a rotoli... e a chi diavolo vorrà lui potrà anche dirà la cruda verità. 

Tutto questo ha un nome: "privacy by design".

La migliore spiegazione del concetto la dobbiamo a Rowenna Fielding quando lo ha esemplificato così: "don't be a git". Volendo tradurre l'espressione direi che suona più o meno come "non fare lo stronzo con i dati personali altrui".

Post scriptum interpretativo: si, questo articolo è per te che hai detto una cagata pazzesca e, anziché ammetterlo, continui da anni ad arrampicarti sui vetri ingigantendo il merdone che hai pestato. 

Prosit

SEI UN PROFESSIONISTA?

SI FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere? bene... allora mi devi una birra.

NO Se sei arrivato fino a qui meriti un plauso. Complimenti! Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi: - Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone - Con una donazione. Questo aiuterà me.

👇 👇 Clicca qui 👇 👇

 

 

 

"Esiste, dunque, un giudice a Berlino"... ed un Garante a Roma.

"Esiste, dunque, un giudice a Berlino"...

ed un Garante a Roma.

Ancora non ho capito perché mi abbiano chiamato “No-FSE” ma, alla luce dei recenti accadimenti, non è stata una buona idea.

Qualche mese fa, si è creata registrata una certa agitazione, generale e mediatica, riferita al “termine di opposizione al pregresso”, prevista dalla normativa di riforma del Fascicolo Sanitario Elettronico. La scadenza del termine per l’esercizio del diritto di opposizione, fissata per il 30 giugno 2024, era rimasta in sordina per molti mesi, anche perché la campagna informativa che il governo avrebbe dovuto realizzare ha avuto la stessa risonanza di un petardo bagnato.

All’epoca scrissi un articolo abbastanza ruvido (https://bernieri.blogspot.com/2024/06/dark-pattern-di-stato.html) per evidenziare una serie di problemi legati all rispetto della normativa in materia di protezione dei dati personali: dark pattern, esclusione di determinate categorie dal diritto di accesso, mancanza di informazione relativa ai trattamenti, ecc. Fui intervistato dal Corriere della sera, da Radio 24 ed ebbi occasione di spiegare i termini della questione in varie sedi. Solo negli ultimi giorni, molte persone hanno preso coscienza della situazione.

Negli stessi giorni, come spesso accade, il dibattito si polarizzò su schieramenti opposti, mortificando il concetto stesso di esercizio di un diritto ed il valore della libertà di scelta.

In quegli stessi giorni, inoltre, ho avuto modo di dialogare con professionisti della sanità, convinti che si possa fare ricerca con i dati, approssimativi, parziali e non significativi, contenuti nel Fascicolo Sanitario Elettronico. Altri professionisti erano convinti che, senza accesso alle analisi del sangue risalenti al decennio precedente, non sarebbero stati in grado di curare una distorsione alla caviglia di un loro paziente in pronto soccorso. Che dire, non tutti possono essere aiutati.

Il 30 giugno arrivò, la possibilità di opporsi al trattamento del pregresso cessò, la pagina del portale venne chiusa e tutto fu dimenticato sia dalla cronaca che dalla gente.

Fortunatamente non da tutti.

Alcune persone mi hanno chiesto aiuto e, con loro, ho preparato e presentato alcuni reclami al Garante Privacy.

Dopo complessi passaggi tecnici e molto lavoro nei palazzi del potere, oggi è arrivata la pec che annuncia l’esito dell’istruttoria.

Forse le mie osservazioni non erano del tutto peregrine dal momento che il Garante ha accolto le richieste presentate recependo le osservazioni nel provvedimento del 12 settembre 2024, di imminente pubblicazione sul sito https://www.garanteprivacy.it/.

Dietro le quinte, sono state organizzate specifiche interlocuzioni con il Ministero dell’economia e delle finanze e con il Ministero della salute per superare le difficoltà segnalate e valutare la possibilità di una riapertura dei termini per l’esercizio della facoltà di opposizione nei confronti di determinate categorie di interessati.

A conclusione di questo lavoro di indirizzo, il Governo ha presentato all’autorità lo schema del decreto di riapertura dei termini per l’esercizio della facoltà di opposizione. Il Garante ha esaminato il testo e ha dato parere favorevole. Oltre alla riapertura dei termini, il decreto introduce le modifiche necessarie per garantire l’esercizio dei diritti a chi non era nemmeno stato preso in considerazione dalla versione originaria della norma.

Parallelamente, il Garante ha analizzato le informative dedicate al FSE predisposte dalle Regioni, riscontrando gravi violazioni e aprendo specifici procedimenti correttivi e sanzionatori  nei confronti di 18 Regioni e 2 Province autonome. Anche questo punto è stato oggetto di segnalazione da parte di molti cittadini ed esperti della materia.

Sono state riscontrate, dunque, intere categorie di interessati alle quali il diritto di opposizione, previsto dalla legge, è stato negato. Una “piccola” dimenticanza che, tuttavia, non può essere ignorata. In effetti, come evidenziato nell’articolo sui Dark Pattern di stato, alcuni elementi farebbero pensare più ad una azione intenzionale che ad un mero errore. Le categorie di interessati escluse, o meglio, le persone escluse devono poter esercitare il loro diritto di opposizione e lo stato deve garantire loro la possibilità di farlo.

Basta questo per ridimensionare le accuse di luddismo e cancellare la suggestiva ma inconsistente l’etichetta “NoFSE” subito attribuita a chi ha osato farsi una domanda e mettere in discussione la faciloneria con la quale il Governo ha gestito il passaggio da FSE ad FSE2.0  (Si veda l’articolo citato per ogni dettaglio in merito).

Il Garante ha supportato le correzioni della norma in modo eccellente, ampliandone la portata originaria in modo da includere una platea decisamente più ampia e abbracciando, finalmente, anche i più deboli ed invisibili.

Ecco in sintesi i principali contenuti del decreto di imminente pubblicazione:

1. Riapertura dei termini di opposizione per tutti gli assistiti, al fine di consentire a coloro che non abbiano potuto esercitare la predetta facoltà, anche per impedimenti di natura tecnica dipesi dai sistemi regionali e da quello centrale, di esercitare tale facoltà per un ulteriore periodo di trenta giorni dalla pubblicazione in Gazzetta Ufficiale del predetto decreto;

2. L’estensione del diritto di opposizione anche alle persone con codice fiscale o con codice STP (straniero temporaneamente presente in Italia) che non siano più assistiti dal servizio sanitario nazionale;

3. L’estensione del diritto di opposizione sine die per i soggetti non più assistiti dal SSN, ma che lo siano stati in passato, entro 30 giorni dalla riattivazione dell’assistenza al SSN;

4. L’estensione del diritto di opposizione per tutti gli assistiti che nel tempo diventeranno maggiorenni, entro 30 giorni dal compimento della maggiore età;

5. Uno specifico onere alle Asl di dare informazione circa tale facoltà di opposizione al soggetto che riattiva l’assistenza sanitaria specificando i termini e le modalità per l’esercizio di tale diritto.

In conclusione, a brevissimo verrà pubblicato il provvedimento del Garante con il parere favorevole sul decreto ministeriale; successivamente, il decreto completerà il suo iter e verrà pubblicato in gazzetta ufficiale.

Da allora, tutti avranno nuovamente 30 giorni per esercitare il diritto di opposizione, per non far confluire i dati pregressi (ante maggio 2020) dal fascicolo sanitario elettronico vecchia maniera al nuovo FSE2.0.

Ricordo che il FSE vecchia maniera aveva finalità di trattamento dei dati imitate unicamente alla gestione sanitaria e l’accesso era possibile solo nell’ambito della sanità. Il FSE2.0 ha molte finalità aggiuntive (descritte QUI) che nulla hanno a che vedere con la sanità e, inoltre, l’ambito di condivisione dei dati è enormemente amplificato.

A breve, chi non si è accorto di nulla e chi si è sentito escluso potrà beneficiare nuovamente della facoltà di scelta che non ha esercitato. Chi ha già scelto, potrà riconsiderare la propria posizione e cambiare idea.

Ringrazio personalmente la tenacia di chi ha creduto di poter cambiare le cose, di chi non si è limitato a protestare dal divano e si è speso per il bene di tutti. Queste persone avranno sempre la mia stima e, entro le mie competenze, potranno contare sul mio supporto.

Prosit.

SEI UN PROFESSIONISTA?

SI FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere? bene... allora mi devi una birra.

NO Se sei arrivato fino a qui meriti un plauso. Complimenti! Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi: - Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone - Con una donazione. Questo aiuterà me.

👇 👇 Clicca qui 👇 👇

 

 

APP e privacy... ora si fa sul serio

L'immagine a corredo di questo articolo ha il solo scopo di attirare l'attenzione degli sviluppatori di APP!

 APP e privacy... ora si fa sul serio

Da oggi cambia tutto.

Il Garante francese (CNIL) ha pubblicato un documento di raccomandazioni dedicato alla compliance delle APP. Una bomba, un fulmine a ciel sereno.

Sino ad oggi, ogni sviluppatore ha potuto fare spallucce e lasciare decidere all'azienda i requisiti tecnici relativi in conformità alle norme in materia di privacy. Comodissimo, anche perchè l'azienda è fatta di gente del marketing, gente dell'amministrazione, gente delle risorse umane, gente dell'IT, gente dell'ufficio legale, gente dell'amministrazione, gente come il DPO... tutta gente che non riesce a mettersi d'accordo e che, alla fine, decide sulla base di criteri arbitrari. Chi urla di più, ha ragione, e alla fine decide chi ci mette la faccia (o altre parti anatomiche).

Da oggi, con la guida del CNIL, diventa molto più difficile sentirsi liberi di inventare e, di fatto, perpetrare ogni nefandezza protetti dai soliti vecchi alibi: "lo fanno tutti", "il garante non si è espresso", "stiamo sperimentando", "siamo innovativi, "è un nuovo approccio basato sull'algoritmo di AI", "sono trattamenti tecnicamente necessari", "sono partner selezionatissimi", "sono autonomi titolari, noi non centriamo niente","ci teniamo molto ai dati dell'utente"... ops, lapsus, volevo dire "ci teniamo molto alla privacy dell'utente". 

Con le sue poderose (quasi) 100 pagine, il documento del Garante francese sgombra il campo dalle incertezze e dalla malizia tipica del settore. 

NB: ogni riferimento all'ittiologia è puramente intenzionale.

Ci vorrà un po' di tempo prima che le aziende si rendano conto che la portata del documento di raccomandazioni non può essere paragonata ad un pacato consiglio, ma è quella di una linea guida, non una best practice una vera e propria guida alla conformità normativa. Fare qualcosa di diverso sarà certamente possibile, ma non vorrei trovarmi nei panni di chi dovrà sostenerne la bontà.

Anche il fatto che l'autore sia oltralpe non aiuta alla comprensione di ciò che sta accadendo: i garanti si specializzano, si suddividono il lavoro, si dedicano ciascuno ad un aspetto della materia e, soprattutto, beneficiano reciprocamente del lavoro svolto. In altre parole, il Garante italiano potrà contestare ad uno sviluppatore italiano di aver violato il GDPR, basandosi sul confronto della APP con i requisiti indicati dalle linee guida (raccomandazioni) del CNIL. 

Orrore...

ma noi siamo sovrani

come si permettono

è solo questione di interpretazione

impugneremo il provvedimento...

ok ok, caro sviluppatore, ma intanto che ti lamentavi hai realizzato una app non rispettosa del GDPR e lontana dallo stato dell'arte.

Eccolo il concetto fondamentale, ben noto a chi maneggia norme UNI ISO EN ECC... lo stato dell'arte.

Sviluppare una APP, ovunque nel mondo, se destinata a trattare i dati di persone europee, dovrà essere fatto tenendo le linee guida del CNIL sul tavolo, consultandole di continuo e, di fatto, adottandole come una nuova bibbia.

Il documento originale è disponibile a questo indirizzo: 

https://www.cnil.fr/en/mobile-applications-cnil-publishes-its-recommendations-better-privacy-protection  

Non escludo che il CNIL produca una versione del documento in inglese o in altre lingue. Per ora, il documento tradotto in italiano (in automatico - traduzione di cortesia) è qui:

https://drive.google.com/file/d/1dXbwnADtFpzl5h4rOcIYaBOhv4m3HzwD/view?usp=drive_link 

Prosit

SEI UN PROFESSIONISTA?

SI FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere? bene... allora mi devi una birra.

NO Se sei arrivato fino a qui meriti un plauso. Complimenti! Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi: - Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone - Con una donazione. Questo aiuterà me.

👇 👇 Clicca qui 👇 👇