Chi controlla realmente i dati del Ssn?

Gentile Direttore,
stiamo assistendo ad un momento di trasformazione storica per il nostro Servizio Sanitario Nazionale nell’ambito della digitalizzazione: dal potenziamento del Fascicolo Sanitario Elettronico (FSE 2.0) alla creazione della Piattaforma Nazionale Liste d’Attesa (PNLA) e della Piattaforma Nazionale di Telemedicina (PNT). Si tratta di un’opportunità straordinaria per migliorare l’efficienza delle cure, la ricerca e l’accesso ai servizi per i cittadini.

Parallelamente a questa trasformazione ufficiale, assistiamo però a una digitalizzazione “sommersa” altrettanto pervasiva: l’uso quotidiano e spesso incontrollato di piattaforme di messaggistica consumer, come WhatsApp, per le comunicazioni tra operatori e, talvolta, persino con i pazienti. Lo scambio di referti, pareri clinici o immagini diagnostiche su questi canali non solo rappresenta una grave vulnerabilità per la privacy e una palese violazione del GDPR, ma affida di fatto dati sanitari ultrasensibili a server gestiti da colossi extra-europei. È la negazione stessa della sovranità digitale, una “zona grigia” che vanifica gli sforzi di messa in sicurezza del sistema.

Questa doppia sfida – la costruzione della nuova infrastruttura e il governo della “shadow IT” esistente – ci porta a una domanda cruciale: chi controlla realmente i dati del SSN?

Stiamo costruendo un patrimonio informativo di valore incalcolabile. I dati sanitari di 60 milioni di italiani non sono solo “dati particolari” ai sensi del GDPR; sono la mappa della nostra salute collettiva, un asset strategico per la ricerca scientifica, la programmazione sanitaria e, in ultima analisi, per la sicurezza nazionale.

L’adozione di servizi cloud è inevitabile e necessaria per modernizzare infrastrutture IT spesso obsolete e frammentate. Il punto cruciale, però, è quale cloud. Affidare il patrimonio sanitario nazionale a infrastrutture gestite da provider extra-europei, anche se i loro server fossero fisicamente collocati in Europa, ci esporrebbe a vulnerabilità giuridiche e strategiche inaccettabili.

Il riferimento è, ovviamente, a normative estere come il CLOUD Act statunitense, che autorizza le autorità USA a richiedere i dati detenuti dalle loro aziende tecnologiche, indipendentemente da dove questi siano conservati. Si tratta di un palese conflitto con i principi di protezione dei dati europei e una minaccia diretta alla nostra autonomia. La privacy dei nostri pazienti e il controllo sui nostri dati strategici non possono dipendere dalle leggi di un Paese terzo.

In questo scenario, iniziative come il Polo Strategico Nazionale (PSN) non sono solo un progetto di ammodernamento tecnologico, ma un vero e proprio presidio di sovranità. Garantire che i dati critici della Pubblica Amministrazione, e in primis quelli sanitari delle ASL e delle Aziende Ospedaliere, risiedano su un’infrastruttura nazionale sicura, protetta dalle ingerenze esterne, è una scelta politica e strategica fondamentale.

L’attacco hacker che paralizzò il sistema sanitario della Regione Lazio nel 2021 ci ha già mostrato quanto siamo vulnerabili. Non possiamo permetterci di aggiungere alla fragilità della cybersecurity anche la vulnerabilità di una dipendenza strategica.

Per questo ritengo fondamentale che la digitalizzazione deve essere perseguita con coraggio, ma senza ingenuità. L’efficienza non può essere barattata con la sicurezza e l’autonomia.

Costruire un SSN digitale, moderno e resiliente significa anche e soprattutto costruirlo su fondamenta sovrane utilizzando software e applicazioni open source.

Marco Pingitore
Dirigente Psicologo CSM Mesoraca (ASP Crotone)