Conformità HDS per i dati sanitari: guida per associazioni e ONG

Le associazioni di beneficenza, le ONG umanitarie, le strutture medico-sociali senza scopo di lucro condividono un punto comune spesso sottovalutato: dal momento in cui trattano o ospitano dati sanitari personali, rientrano nel quadro legale dell'hosting dei dati sanitari (HDS). Tuttavia, questo settore accumula un ritardo strutturale in materia di conformità, a causa della mancanza di risorse interne dedicate e di una consapevolezza insufficiente. Questo articolo ti guida passo dopo passo per comprendere le implicazioni della certificazione HDS, identificare i tuoi obblighi reali e attivare una messa in conformità operazionale — anche con un team IT limitato.

Cos'è la certificazione HDS e perché le associazioni ne sono interessate?

La definizione legale dei dati sanitari

Nel senso del RGPD (articolo 4, §15), i dati sanitari sono dati personali relativi alla salute fisica o mentale di una persona, che rivelano informazioni sul suo stato di salute. Questa definizione è volutamente ampia. Copre non solo i fascicoli medici in senso clinico, ma anche:

• I dati dei beneficiari raccolti durante campagne di screening
• Le informazioni sulla disabilità dichiarate nei fascicoli di assistenza sociale
• I dati nutrizionali o di salute mentale raccolti in un contesto di accompagnamento psicosociale
• I risultati di test o valutazioni mediche nell'ambito di programmi umanitari

Un'associazione di lotta contro le dipendenze, una rete di assistenza alle persone anziane dipendenti o un'ONG che gestisce consultazioni mediche sul territorio raccolgono tutte dati che rientrano in questa categoria.

Il dispositivo HDS: obbligo legale, non opzione

La legge n. 2016-41 del 26 gennaio 2016 (legge di modernizzazione del sistema sanitario) ha introdotto l'obbligo di hosting certificato HDS per qualsiasi entità che ospiti dati sanitari personali per conto di terzi — incluse associazioni e ONG. Il referenziale di certificazione, definito dal decreto n. 2018-137 del 26 febbraio 2018, precisa le attività coperte e i requisiti tecnici e organizzativi da soddisfare.

Contrariamente a un'idea diffusa, l'esenzione non si applica semplicemente al fatto di essere una struttura senza scopo di lucro. Ciò che conta è la natura dei dati trattati e il fatto che l'hosting sia realizzato per conto di una terza parte (un medico, un paziente, una struttura partner).

Le sei attività HDS e la loro portata per le strutture associative

La certificazione HDS copre sei attività distinte, organizzate in due blocchi:

Blocco infrastruttura (attività 1-3)

• Attività 1: La messa a disposizione e il mantenimento in condizioni operative dei siti fisici (data center)
• Attività 2: La messa a disposizione e il mantenimento in condizioni operative dell'infrastruttura hardware
• Attività 3: La messa a disposizione e il mantenimento in condizioni operative dell'infrastruttura virtuale

Blocco software e servizi gestiti (attività 4-6)

• Attività 4: La messa a disposizione e il mantenimento in condizioni operative della piattaforma di hosting delle applicazioni
• Attività 5: L'amministrazione e l'esercizio del sistema informativo sanitario
• Attività 6: Il backup esterno dei dati sanitari

Per un'associazione, le attività più frequentemente interessate sono le attività 4-6, in particolare quando utilizza una soluzione SaaS di terze parti per gestire i fascicoli dei beneficiari o quando esternalizza il backup dei suoi database. È quindi essenziale verificare che qualsiasi fornitore SaaS o cloud che manipola i tuoi dati sanitari sia effettivamente certificato HDS per le attività corrispondenti.

In questo contesto, il ricorso a una soluzione di firma elettronica nel settore sanitario certificata HDS permette di proteggere i flussi documentali sensibili — consensi informati, moduli di ammissione, ricette dematerializzate — senza esporre l'associazione a un rischio di non conformità.

Come attivare concretamente la conformità HDS nella tua associazione?

Fase 1: Mappare i tuoi trattamenti di dati sanitari

Prima di qualsiasi iniziativa tecnica, è necessario procedere a un inventario preciso di tutti i trattamenti che coinvolgono dati sanitari. Questo esercizio rientra direttamente nell'obbligo di tenuta del registro dei trattamenti previsto dall'articolo 30 del RGPD.

Per ogni trattamento, documenta:

• La natura dei dati raccolti (categoria speciale nel senso del RGPD)
• Le finalità del trattamento
• I destinatari e i responsabili del trattamento
• I mezzi di hosting (server interno, cloud, SaaS)
• Le misure di sicurezza in atto

Questa mappatura consente di identificare rapidamente le aree a rischio e i fornitori da sottoporre ad audit.

Fase 2: Controllare i tuoi fornitori e richiedere la certificazione

La certificazione HDS è rilasciata da organismi accreditati dal COFRAC (Comitato francese di accreditamento). Puoi verificare lo stato di certificazione di un hosting provider sul sito dell'ANS (Agenzia del Digitale Sanitario), che mantiene un elenco pubblico degli hosting provider certificati HDS.

Richiedi sistematicamente ai tuoi fornitori:

• Una copia del certificato HDS attualmente valido
• L'ambito esatto delle attività coperte
• Le condizioni contrattuali specifiche per la protezione dei dati sanitari

Non accontentarti di una dichiarazione d'intenti: la certificazione deve essere verificabile e aggiornata.

Fase 3: Aggiornare i tuoi contratti e DPA

L'articolo 28 del RGPD impone la conclusione di un Data Processing Agreement (DPA) con qualsiasi responsabile del trattamento che elabora dati personali per tuo conto. Nel contesto HDS, questo DPA deve essere completato da clausole specifiche che coprano:

• Gli impegni di riservatezza rafforzata
• Gli obblighi di notifica dell'incidente entro 72 ore
• Le condizioni di restituzione e cancellazione dei dati
• La localizzazione dei dati (obbligatoriamente nel territorio dello SEE o in un paese che beneficia di una decisione di adeguatezza)

Alcune associazioni utilizzano ancora moduli cartacei per raccogliere il consenso dei loro beneficiari. La dematerializzazione di questi processi tramite una soluzione di firma elettronica conforme consente di marcare temporalmente e autenticare i consensi, producendo una prova legalmente opponibile.

Fase 4: Formare i tuoi team e designare un referente per la conformità

La conformità HDS non è un progetto una tantum: è un processo continuo. Designa un referente interno (che può essere il tuo DPO se ne hai uno, in conformità all'obbligo previsto dall'articolo 37 del RGPD per gli organismi che trattano dati sanitari su larga scala) e prevedi sessioni di sensibilizzazione regolari per i team che lavorano con dati sensibili.

Secondo uno studio pubblicato dal CNIL nel 2024, più del 60% delle violazioni di dati sanitari notificate ha coinvolto un errore umano (invio a un destinatario errato, assenza di crittografia). La formazione è quindi un fattore di riduzione del rischio altrettanto importante quanto le misure tecniche.

Le problematiche specifiche del settore associativo: risorse limitate e vincoli di bilancio

Il paradosso dei dati sensibili e del bilancio limitato

Le associazioni e le ONG si trovano in una posizione particolare: spesso gestiscono alcuni dei dati più sensibili (stato di salute di persone vulnerabili, rifugiati, minori non accompagnati) con mezzi umani e finanziari molto inferiori a quelli del settore ospedaliero o delle imprese private sanitarie.

Questa realtà impone di adottare una strategia di conformità pragmatica e prioritaria. Secondo le raccomandazioni dell'ANS, per le piccole e medie strutture è generalmente consigliato un approccio in tre fasi:

1. Fase di urgenza (0-3 mesi): identificazione e neutralizzazione dei rischi critici (hosting provider non certificati, assenza di crittografia)
2. Fase di consolidamento (3-12 mesi): aggiornamento dei contratti, implementazione di strumenti conformi, formazione
3. Fase di maturità (12-24 mesi): audit interni, piano di continuità, revisione annuale dei trattamenti

Il ruolo della firma elettronica nella conformità HDS associativa

La dematerializzazione dei documenti sensibili è un fattore spesso sottoutilizzato dal settore associativo. Tuttavia, sostituire i moduli cartacei con processi di firma elettronica qualificata o avanzata presenta diversi vantaggi:

• Tracciabilità: ogni firma è marcata temporalmente e associata a un'identità verificata, il che facilita la dimostrazione della liceità del trattamento
• Riduzione del rischio di errore: meno manipolazione manuale di documenti sensibili
• Archiviazione sicura: i documenti firmati elettronicamente possono essere conservati in una cassaforte digitale certificata

Per approfondire i criteri di selezione di una soluzione adatta alla tua struttura, consulta il nostro confronto delle soluzioni di firma elettronica che dettagia le differenze tra le offerte di mercato in termini di conformità HDS e eIDAS.

Le associazioni che utilizzano già uno strumento di gestione HR o di gestione dei fascicoli dei beneficiari hanno spesso interesse a verificare se la loro soluzione attuale integra nativamente la firma elettronica conforme. La nostra guida alla firma elettronica in azienda affronta questi criteri di integrazione in dettaglio.

Infine, se hai già implementato una soluzione di firma ma desideri migrare verso un fornitore certificato HDS, la nostra offerta di migrazione ti permette di trasferire i tuoi dati e flussi di lavoro senza interruzione del servizio.

Quadro normativo applicabile all'hosting dei dati sanitari per associazioni e ONG

Testi fondatori del quadro HDS

La normativa francese sull'hosting dei dati sanitari si basa su una sovrapposizione di testi la cui conoscenza è indispensabile per qualsiasi associazione che manipoli dati medici o medico-sociali.

Legge n. 2016-41 del 26 gennaio 2016 (legge di modernizzazione del sistema sanitario): ha iscritto nel Codice della sanità pubblica (articolo L. 1111-8) l'obbligo di ricorrere a un hosting provider certificato HDS per qualsiasi persona fisica o giuridica che ospiti dati sanitari personali per conto delle persone interessate o delle entità che li trattano.

Decreto n. 2018-137 del 26 febbraio 2018: precisa le attività soggette a certificazione, le modalità di rilascio e revoca della certificazione, nonché i requisiti applicabili agli organismi certificatori (accreditamento COFRAC obbligatorio).

Decreto del 8 agosto 2017: fissa il referenziale di sicurezza applicabile ai sistemi informativi sanitari, che funge da base tecnica per la valutazione HDS.

Articolazione con il RGPD

Il Regolamento (UE) 2016/679 (RGPD) costituisce il quadro generale di protezione dei dati personali. Le sue disposizioni si applicano cumulativamente ai requisiti HDS:

• Articolo 9: i dati sanitari sono categorie speciali di dati il cui trattamento è vietato in linea di principio, salvo eccezioni elencate (consenso esplicito, necessità per l'assistenza sanitaria, interesse pubblico, ecc.)
• Articolo 28: qualsiasi ricorso a un responsabile del trattamento che ospita dati sanitari deve essere oggetto di un contratto scritto dettagliato (DPA)
• Articolo 32: l'associazione è tenuta a implementare misure tecniche e organizzative appropriate (crittografia, pseudonimizzazione, controllo dell'accesso)
• Articolo 33: qualsiasi violazione di dati sanitari deve essere notificata al CNIL entro 72 ore
• Articolo 35: un'Analisi dell'impatto sulla protezione dei dati (AIPD) è obbligatoria non appena il trattamento è suscettibile di comportare un rischio elevato per i diritti delle persone

Rischi legali in caso di non conformità

Il mancato rispetto del quadro HDS espone l'associazione a diversi livelli di sanzioni:

• Sanzioni amministrative CNIL: fino a 20 milioni di euro o il 4% del fatturato annuale mondiale (articolo 83, §5 del RGPD) per le violazioni più gravi. Per le associazioni, il CNIL valuta l'importo tenendo conto delle risorse disponibili, ma sanzioni simboliche ma pubbliche sono già state inflitte a piccole strutture.
• Responsabilità penale: l'articolo 226-13 del Codice penale prevede fino a un anno di carcere e 15.000 euro di multa per violazione del segreto medico.
• Responsabilità civile: i beneficiari lesi possono impegnare la responsabilità dell'associazione sulla base degli articoli 1240 e seguenti del Codice civile in caso di danno provabile.
• Sospensione dell'accreditamento: le associazioni accreditate da autorità pubbliche (ARS, consiglio dipartimentale) possono vedersi ritirare il loro accreditamento in caso di grave inadempimento alla protezione dei dati sanitari.

È inoltre opportuno notare che la direttiva NIS2 (direttiva UE 2022/2555, recepita in Francia dalla legge n. 2024-449 del 21 maggio 2024) estende gli obblighi di cybersicurezza a uno spettro più ampio di entità, potenzialmente includendo alcune grandi associazioni che gestiscono infrastrutture critiche sanitarie.

Scenari di utilizzo: la conformità HDS in pratica per le associazioni e le ONG

Scenario 1: Un'associazione di assistenza domiciliare che gestisce 500 fascicoli di beneficiari

Un'associazione che opera presso persone anziane dipendenti in diversi dipartimenti gestisce circa 500 fascicoli attivi che includono informazioni sulle patologie, gli ordini medici in corso e le valutazioni di dipendenza (scala GIR). Questi dati sono archiviati in un software di gestione associativa ospitato da un fornitore cloud non certificato HDS.

A seguito di un audit interno avviato da una richiesta di accesso di un beneficiario, l'associazione identifica questa non conformità. Avvia una migrazione verso un hosting provider certificato HDS per le attività 4 e 5, conclude un DPA conforme con il suo fornitore di software e implementa una soluzione di firma elettronica per dematerializzare i moduli di consenso e i piani di assistenza personalizzati.

Risultati osservati: riduzione del 70% dei tempi di elaborazione dei consensi (da una media di 12 giorni in formato cartaceo a meno di 4 giorni), eliminazione totale dei rischi legati alla perdita o all'invio errato di documenti cartacei, e ottenimento di una copertura assicurativa cyber rafforzata grazie alla messa in conformità documentata.

Scenario 2: Un'ONG internazionale che coordina missioni mediche sul terreno

Un'ONG specializzata in cure mediche d'emergenza raccoglie, nel contesto delle sue missioni, dati sanitari su popolazioni beneficiarie in diversi paesi, inclusi dati trasmessi a un server centralizzato in Francia. Il team IT è composto da due persone volontarie.

Di fronte all'impossibilità di mantenere un'infrastruttura interna certificata HDS, l'ONG sceglie un'architettura 100% SaaS con un hosting provider certificato HDS che copre le attività 1-6. Implementa un processo di firma elettronica per i protocolli medici e i moduli di consenso adattati alle zone con bassa connettività (firma in modalità offline sincronizzata).

Risultati osservati: conformità HDS e RGPD raggiunta in meno di 6 mesi senza assunzioni IT aggiuntive, risparmio stimato al 40% rispetto a un'infrastruttura ospitata internamente, e capacità di rispondere a bandi istituzionali (AFD, Unione europea) che richiedono una certificazione di conformità dei dati.

Scenario 3: Una rete associativa che gestisce centri sanitari comunitari

Un raggruppamento associativo che riunisce diversi centri sanitari comunitari (circa 8.000 pazienti attivi) utilizza un software di cartelle cliniche condiviso tra i diversi siti. Il coordinamento tra siti implica lo scambio di dati sanitari via posta elettronica non sicura, in violazione diretta del referenziale HDS.

L'associazione intraprende una ristrutturazione del suo sistema informativo con il supporto di un fornitore certificato HDS, implementa una messaggistica sanitaria sicura (MSSanté), e dematerializza tutti i suoi moduli di ammissione e consenso tramite una piattaforma di firma elettronica conforme eIDAS. Un'AIPD è condotta per ogni trattamento ad alto rischio.

Risultati osservati: zero violazioni di dati notificate al CNIL nei 18 mesi successivi alla messa in conformità (rispetto a due incidenti minori nel periodo precedente), tempo medio di ammissione ridotto del 35%, e miglioramento del tasso di completamento dei fascicoli dei pazienti del 22% grazie all'eliminazione dei moduli cartacei incompleti.

Conclusione

Attivare la conformità HDS per i dati sanitari nel settore associativo e ONG non è un'opzione riservata alle grandi strutture ospedaliere: è un obbligo legale che si impone a qualsiasi entità, indipendentemente dalle sue dimensioni o dal suo status giuridico, dal momento in cui ospita o tratta dati sanitari personali. L'ignoranza della normativa non esonera dalla responsabilità.

La buona notizia: un approccio strutturato in quattro fasi — mappatura, audit dei fornitori, aggiornamento contrattuale, formazione — permette di raggiungere un solido livello di conformità anche con risorse limitate. La dematerializzazione dei consensi e dei documenti sensibili tramite una soluzione di firma elettronica certificata costituisce un fattore particolarmente efficace per ridurre i rischi migliorando al contempo l'efficienza operativa.

Certyneo propone una piattaforma di firma elettronica conforme eIDAS, adatta ai vincoli del settore associativo e ospitata su un'infrastruttura certificata HDS. Contatta il nostro team per un audit gratuito della tua situazione documentale e scopri come proteggere i tuoi flussi di dati sanitari da oggi.