Nell’ambito della protezione dei dati, una politica proattiva, ed evidentemente conforme alla legge, è indispensabile per la buona reputazione di un’azienda. La società bernese Medicosearch, specializzata nel settore dell’e-sanità, ne è convinta.
Il Parlamento ha adottato nell’autunno 2020 una nuova legge sulla protezione dei dati (nLPD), che entrerà in vigore il primo settembre 2023. Essa rafforza i diritti dei cittadini, creando al contempo nuovi obblighi per le imprese. Principale piattaforma svizzera per la prenotazione di appuntamenti medici online, Medicosearch è toccata direttamente da questa evoluzione legislativa. Questo sito tratta e protegge infatti i dati medici sensibili dei suoi utenti tramite una politica precisa in quest’ambito. Il membro di direzione e responsabile della protezione dei dati della società bernese, Rafael Imboden, spiega le modifiche introdotte dalla nLPD e come Medicosearch si sta preparando.
Può descriverci brevemente il modello d’affari di Medicosearch?
Rafel Imboden: Dalla creazione della società nel 2008, Medicosearch propone una piattaforma di prenotazione di appuntamenti nel settore sanitario. In altre parole, su medicosearch.ch, un paziente può scegliere tra più di mille professionisti della salute colui o colei che più gli si addice e prendere direttamente appuntamento online. I nostri clienti sono dei fornitori di servizi del settore medico (medici, terapisti, dentisti, farmacisti, ospedali, ecc.) che desiderano proporre la possibilità di prenotazione online ai loro pazienti. La Svizzera è, in questo senso, molto diversa dagli altri paesi europei come la Germania o la Spagna, laddove le piattaforme servono soprattutto ad acquisire nuovi clienti. Nel nostro paese, le sale d’aspetto non si svuotano e si tratta piuttosto di alleggerire l’onere amministrativo degli studi, evitando chiamate inutili o permettendo di effettuare delle prenotazioni la sera e il weekend.
All’interno di quale quadro la sua impresa tratta dati personali?
Imboden: Generalmente, quando un paziente prenota un appuntamento, certe informazioni gli vengono richieste. Possono essere di tipo standard (nome, indirizzo, ecc.) oppure può trattarsi di dati medici sensibili. Gli studi medici, gli ospedali e le farmacie hanno infatti la possibilità di pubblicare un formulario da compilare al momento della prenotazione dell’appuntamento, il quale comprende, ad esempio, informazioni sul gruppo sanguigno, sulla cassa malati, su esami medici precedenti… Si tratta della situazione principale nella quale registriamo e comunichiamo dati sensibili ai fornitori di servizi.
Cosa cambia con la nLPD?
Imboden: Capire la revisione in dettaglio richiede tempo. Ma, a un livello molto generale, possiamo dire che la nuova legge si adegua ai cambiamenti tecnologici e sociali della nostra epoca. Molte cose sono cambiate dalla prima legge, risalente a quasi 30 anni fa. Il potenziale di utilizzo, ma anche di abuso, dei dati personali è aumentato fortemente. Con il cloud computing, i social network e anche l’internet delle cose, la protezione dei dati non è necessariamente garantita o ottimale. L’altro grande motivo per una revisione è l’adattamento alla Regolamentazione dell’UE per la protezione dei dati (GDPR). Se la Svizzera offrisse una protezione dei dati inferiore a quella dell’UE, si creerebbe uno svantaggio concorrenziale per le imprese del paese.
Concretamente, in che modo la nuova legge si adegua alla nostra epoca?
Imboden: Ad esempio, i dati biometrici e genetici vengono ormai considerati come particolarmente sensibili. Inoltre, ogni persona deve essere informata sulla raccolta dei suoi dati, mentre prima questo dovere d’informazione era valido soltanto per i dati sensibili. La nLPD introduce anche il concetto di "privacy by default". Ad esempio, nel momento in cui si scarica un’applicazione sullo smartphone, la condivisione della localizzazione viene disattivata obbligatoriamente. Il cliente deve scegliere scientemente "Consento l’attivazione" affinché questa si attivi. Grazie alla nuova legge svizzera, i consumatori hanno la sicurezza che le impostazioni rispettino il più possibile la protezione dei loro dati.
La revisione rappresenta un grande cambiamento per voi?
Imboden: Siccome siamo già conformi al GDPR, dovremmo avere poco da fare. Al contrario, le imprese che finora si sono limitate alla vecchia legge svizzera potrebbero avere parecchio lavoro. Dovrebbero, ad esempio, condurre un’analisi strutturata dei rischi prima di un processo di trattamento dei dati sensibili.
Oltre alle misure di prevenzione, voi disponete di un piano preciso in caso di violazione della protezione dei dati?
Imboden: In caso di violazione della protezione dei dati, bisogna informare in modo trasparente l’incaricato federale delle protezione dei dati e le persone interessate (specificare come è avvenuto il furto e quali dati sono stati coinvolti). Oltre alla comunicazione, la limitazione dei danni è pure importante: è necessario riparare il prima possibile la falla nella sicurezza per impedire il furto di più dati. Tuttavia, se si verifica uno scenario simile, significa che si ha già fallito.
In generale, instauriamo misure di sicurezza che vanno al di là di quanto richiesto dalla legge. Ad esempio, sopprimiamo completamente tutti i dati dopo 30 giorni dall’appuntamento medico e questo permette di ridurre drasticamente i dati che potrebbero essere esposti. Inoltre, conduciamo dei test d’intrusione o "penetration tests". Paghiamo degli hacker benevoli, i quali testano i nostri prodotti e i nostri sistemi informatici per trovare eventuali falle e comunicarcele.
Cosa consiglierebbe a un giovane imprenditore che lancia una piattaforma che tratta dati personali? Può mettere in atto la nuova revisione da solo, senza conoscenze di base?
Imboden: Una buona filosofia è quella di trattare i dati dei clienti come se fossero i propri. È difficile applicare la nLPD senza essere uno specialista della materia. Bisogna avere conoscenze giuridiche per capire bene il contenuto della regolamentazione, ma anche per redigere le dichiarazioni di protezione dei dati sul proprio sito internet, ad esempio. Quando non si ha una formazione di ingegnere IT, è altrettanto difficile giudicare fino a che punto il proprio prodotto è sicuro. Io farei pertanto ricorso a dei consulenti informatici esterni, capaci di dare il via libera prima del lancio.
