Quali sono le sfide che, al di là dei vincoli del GDPR, deve affrontare il mondo del Pharma rispetto alla raccolta, alla gestione e alla valorizzazione dei dati sensibili? «Il tema della gestione documentale non può essere sottovalutato. Va anzi affrontato con la massima attenzione soprattutto nel momento in cui nei flussi di documenti sono presenti – o possono essere presenti – dati particolari legati, magari, alla salute di alcuni pazienti». A dirlo è Tommaso Favero, Supply Chain Solutions Consultant di Intesa, società del gruppo IBM. «Se da una parte è indispensabile che i documenti siano protetti all’interno di sistemi di conservazione a norma che ne preservino la fruibilità nel tempo attraverso le più adeguate misure organizzative e le più moderne tecnologie, dall’altra non bisogna dimenticare però che la velocità con cui si può accedere ai documenti, e quindi ai dati, dipende anche e soprattutto dall’organizzazione che si dà un’azienda».
Who's Who
Tommaso Favero
Favero, qual è il primo errore da non commettere?
Specialmente in ambito sanitario, una logica di archiviazione non adeguata spesso implica un appesantimento che può generare esperienze d’uso più o meno agili, ma anche processi più o meno tortuosi. Per esempio: la conservazione è impostata sul singolo documento o su blocchi di file? Il tema diventa fondamentale quando si verifica una situazione in cui si richiede l’esibizione di un documento. Nel momento in cui si procede con una strategia di conservazione a lotti, anche quando viene richiesto l’accesso a un singolo documento, non si può evitare di richiamare ed esibire l’intero blocco che lo contiene. Come Intesa, avendo il vantaggio di essere provider di firma elettronica e marca temporale, siamo in grado di garantire la conservazione documentale per singoli documenti, e abbiamo deciso di offrire questa modalità a tutti i nostri clienti per garantire loro la massima agilità in qualsiasi circostanza.
Quali esigenze manifestano i vari attori della filiera? E, in prospettiva, qual è il potenziale del document management rispetto a questo specifico settore?
Credo sia importante distinguere il tema della filiera da quello della gestione del documento informatico. La filiera è integrata attraverso tecnologie di scambio dati, come EDI o blockchain: in sostanza, attraverso regole condivise ci si scambiano le informazioni necessarie per poter gestire gli approvvigionamenti di materie prime, la produzione e la catena distributiva. A queste, dobbiamo aggiungere l’NSO, uno strumento di scambio documenti che sfrutta l’esperienza di PEPPOL e delle modalità di scambio documenti della fattura elettronica, attraverso il quale anche le aziende sanitarie sono entrate in una supply chain sempre più integrata.
Per quanto riguarda il document management, è necessario poter convertire le informazioni che provengono da questo scambio dati in documenti fruibili alle autorità, file che contengano le necessarie garanzie di autenticità, integrità e leggibilità. Tutte specifiche che solo i provider di servizi più affidabili possono fornire accompagnando chi lavora nel Pharma lungo un percorso di trasformazione full-digital.
Aggiungo che soprattutto in questo settore non è più sufficiente la gestione dei documenti attraverso un approccio ERP-centrico, in base al quale sostanzialmente l’ERP genera i file e ne gestisce lo scambio. D’altra parte, salvare i documenti non significa metterli in cassaforte. Anzi, è il momento in cui inizia la loro vera vita. Tutte queste fasi devono essere ben disegnate negli organigrammi sia da un punto di vista organizzativo che funzionale. Ma non basta. Così come avviene già nella PA, anche nel privato dovrebbe essere designato un responsabile della gestione documentale. Una figura con competenze tecnologiche e legali a cui dare la responsabilità di gestire la visione storica dell’evoluzione dei flussi. Il supporto digitale è sostanzialmente diverso da quello cartaceo, in quanto subisce l’obsolescenza tecnologica. Quando passeremo ai computer quantistici, per esempio, dovremo imparare a utilizzare un linguaggio diverso dal codice binario e bisognerà saper gestire la sfida del riversamento dei documenti con la logica dettata dalla nuova tecnologia.
Quali altri rischi si corrono nel momento in cui non si adotta un sistema sicuro e facilmente gestibile da qualsiasi tipologia di utente?
I rischi non si concentrano solo in un possibile data breach o nella perdita di dati potenzialmente sensibili: le aziende hanno bisogno dei loro documenti anche per ricostruire atti e fatti che possono avere rilevanza sia sul piano giuridico sia su quello gestionale. I documenti costituiscono il cuore della gestione aziendale, ed è per questo interesse dell’azienda che mantengono le caratteristiche di autenticità, integrità, leggibilità e reperibilità nel tempo. Inoltre, solo gli utenti preposti o autorizzati devono poter accedere al sistema, e ciò può avvenire attivando sistemi efficaci di profilazione degli end-user. Il vantaggio di avere al proprio fianco un conservatore professionalmente competente sul tema consente di consolidare questi presidi, ancora una volta, indipendentemente dalla tecnologia utilizzata.
Che cosa offre la piattaforma di Intesa per aiutare le imprese del settore del Pharma a sviluppare questi approcci?
La soluzione Trusted Lock è studiata appositamente per la detenzione di documenti che contengono dati sensibili. È innanzitutto in grado di crittografare le informazioni a livello di file system in maniera trasparente e automatizzata, in tutti gli ambienti. Consente agli amministratori di definire e applicare politiche di accesso e controllo degli accessi granulari, specifiche, impedendo che altri utenti si impersonino negli amministratori accedendo ai dati protetti, cambiando privilegi e ruoli. Inoltre, mantiene i dati crittografati e illeggibili sul server, rendendoli così inaccessibili agli amministratori che eseguono il backup e ripristinano le attività e illeggibili nel caso in cui sia richiesta la distruzione dei dati. Lo strumento, che è in grado di effettuare la rotazione delle chiavi in modo automatizzato e integrato, è studiato per semplificare i processi di amministrazione con criteri e accessi centralizzati all’interno di un hardware certificato Fips. Garantisce la separazione delle funzioni e monitora e verifica l’accesso degli utenti ai dati e alle chiavi.
Quali cambiamenti sono richiesti a un’organizzazione mediamente digitalizzata?
Il cambiamento è tendenzialmente solo di natura culturale perché la legislazione italiana, attraverso il CAD e gli altri testi che disciplinano il documento informatico, fornisce gli strumenti giuridici adeguati per compiere questa evoluzione anche sul piano operativo. È chiaro che per cambiare bisogna accettare un minimo di rischio, che però può e deve essere governato.
Come garantire l’interoperabilità con i nodi e le piattaforme che danno vita a filiere convergenti e sempre più globalizzate?
Anche da questo punto di vista gli strumenti non mancano. Non si può parlare solo di integrazione delle informazioni, è necessario introdurre anche il tema dell’interoperabilità dei sistemi di conservazione. Lo standard Sincro disciplina il tracciato dell’Indice del Pacchetto di archiviazione, supporta l’interoperabilità tra piattaforme diverse e definisce le regole minime di set up e indicazione dei dati affinché si possa gestire la transizione da un provider a un altro. Un conservatore documentale, del resto, non è per sempre, e bisogna lasciare ai clienti la massima libertà di scelta. Per fortuna se si desidera cambiare partner, ciò non solo è possibile, ma è anche normato.
