Il dato sanitario è l’insieme delle informazioni utili a rivelare lo stato di salute di una persona ed è costituito da informazioni anamnestiche, risultati di esami strumentali o di laboratorio, immagini diagnostiche, referti ed altre informazioni sensibili. Esso, per sua stessa natura, rappresenta il fulcro delle attività delle strutture sanitarie. Le organizzazioni sanitarie, in un’ottica di miglioramento continuo, devono fornire al cittadino un dato di qualità, ovvero affidabile, sicuro e facilmente fruibile. Gli obiettivi sopraindicati vanno inoltre perseguiti con scarse risorse, all’interno di un quadro normativo ed uno scenario tecnologico in continuo cambiamento.
Le organizzazioni sanitarie sono pertanto chiamate a standardizzare e a semplificare i processi, individuando chiari obiettivi specifici, perseguibili e monitorabili nel tempo. Uno di questi è sicuramente l’individuazione e la dismissione di tecnologie e di processi obsoleti. Questi ultimi, infatti, non solo ostacolano la standardizzazione e la semplificazione dei processi, ma aggiungono inevitabilmente complessità, eccezioni e ridondanze nelle organizzazioni sanitarie con conseguente aumento di rischi e costi.
Il quadro di ristrettezze economiche sopracitato tende a prolungare il ciclo di vita dei software e di tutte le attrezzature sanitarie elettromedicali che gestiscono dati personali sensibili.
Oltre ai casi di obsolescenza tecnologica sopra riportati, vanno anche ricordati quelli di natura organizzativa. Un tipico esempio in tal senso è dato dalla gestione della sicurezza del dato sanitario, materia più volte riesaminata dal legislatore. Il quadro normativo in continuo cambiamento rende difficoltosa la gestione organica e a lungo termine del dato clinico. Come conseguenza, i singoli professionisti che operano all’interno delle organizzazioni sanitarie, spesso considerano la protezione dei dati degli assistiti un ostacolo all’erogazione tempestiva delle procedure cliniche. Gran parte delle strutture sanitarie nazionali delegano quindi al solo CIO la responsabilità delle politiche di sicurezza delle informazioni. Il CIO, tuttavia, non è in grado di svolgere da solo questo compito: la sua missione consiste nell’assicurare l’erogazione dei servizi in termini di automazione, innovazione ed efficienza, e non nel definire, da solo, le politiche aziendali sulla sicurezza del dato. Affidare al solo Chief Information Officer (CIO) la gestione della sicurezza del dato sanitario è in palese contraddizione con lo standard di sicurezza ISO27001 e con il General Data Protection Regulation 2016/679 (Art. 38, comma 6) che vietano espressamente di delegare la protezione del dato a figure soggette a potenziali conflitti di interessi, secondo il principio della Separazione dei Compiti (Segregation of Duties).
Il raggruppamento di compiti e responsabilità di diversa natura in capo ad un’unica persona od unità organizzativa, infatti, potrebbe permettere allo stesso attore di compiere errori, frodi e violazioni sui dati, trovandosi nella condizione di poter occultare l’atto compiuto ed esponendo l’azienda a gravi rischi.