IT202100010397A1 - Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari. - Google Patents

Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari. Download PDF

Info

Publication number
IT202100010397A1
IT202100010397A1 IT102021000010397A IT202100010397A IT202100010397A1 IT 202100010397 A1 IT202100010397 A1 IT 202100010397A1 IT 102021000010397 A IT102021000010397 A IT 102021000010397A IT 202100010397 A IT202100010397 A IT 202100010397A IT 202100010397 A1 IT202100010397 A1 IT 202100010397A1
Authority
IT
Italy
Prior art keywords
data
anonymous
clinical
data structure
identification
Prior art date
Application number
IT102021000010397A
Other languages
English (en)
Inventor
Umberto Ferri
Original Assignee
Medas Srl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Medas Srl filed Critical Medas Srl
Priority to IT102021000010397A priority Critical patent/IT202100010397A1/it
Publication of IT202100010397A1 publication Critical patent/IT202100010397A1/it

Links

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/20ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management or administration of healthcare resources or facilities, e.g. managing hospital staff or surgery rooms

Description

METODO DI ELABORAZIONE DATI E SISTEMA COMPUTERIZZATO
PER LA GESTIONE DI DATI SANITARI
DESCRIZIONE
La presente invenzione riguarda il campo dei metodi e sistemi computerizzati per il trattamento di dati personali di una persona. In particolare, la presente invenzione si riferisce ad un metodo di elaborazione dati e ad un sistema computerizzato per la gestione di dati sanitari di una persona.
Come noto, le normative vigenti, ad esempio il regolamento Europeo nr. 2016/679 (GDPR ? ?General Data Protection Regulation?), stabiliscono una severa regolamentazione per quanto riguarda la gestione dei dati sanitari di una persona al fine di tutelarne al meglio la privacy. D?altra parte, ? spesso necessario accedere agli archivi dati gestiti da strutture sanitarie (aziende sanitarie, ospedali, case di cura, laboratori, etc.) in considerazione del fatto che tali raccolte di dati costituiscono preziose fonti d?informazioni utili per eseguire analisi ad ampio spettro (?big data analytics?) a fini clinici, statistici, amministrativi, o per altri scopi.
Al fine di consentire che i dati sanitari conservati siano consultabili tutelando, al contempo, la privacy dei pazienti, sono state sviluppate metodologie di trattamento dei dati sanitari che fanno largo uso di procedure di anonimizzazione o pseudonimizzazione dei dati.
Tali procedure presentano l?indubbio vantaggio di rendere impossibile o molto difficoltoso stabilire correlazioni tra i dati sanitari conservati e le persone a cui tali dati si riferiscono. L?esperienza ha per? dimostrato che i dati sanitari trattati con tali procedure possono essere aggregati tra loro con grande difficolt?. Ovviamente, tale circostanza ne limita considerevolmente la fruibilit?, cos? rendendo, nella pratica, lo svolgimento di indagini approfondite molto laborioso se non impossibile da completare.
Compito precipuo della presente invenzione ? fornire un metodo di elaborazione dati e un sistema computerizzato per la gestione di dati sanitari che consentano di superare gli inconvenienti sopra descritti.
Nell?ambito di questo compito, uno scopo della presente invenzione ? fornire un metodo di elaborazione dati e un sistema computerizzato che assicurino in modo efficace la tutela della privacy di una persona, in linea con le normative vigenti.
Un ulteriore scopo della presente invenzione ? fornire un metodo di elaborazione dati e un sistema computerizzato che facilitino lo svolgimento di indagini ed analisi dei dati conservati.
Non ultimo scopo della presente invenzione, ? quello di fornire un metodo di elaborazione dati e un sistema computerizzato che siano facilmente implementabili a livello pratico, attraverso strumenti informatici comunemente disponibili.
Questo compito e questi scopi, nonch? altri scopi che appariranno evidenti dalla successiva descrizione e dai disegni allegati, sono realizzati, secondo l?invenzione, da un metodo di elaborazione dati per la gestione di dati sanitari, secondo la rivendicazione 1 proposta nel seguito e le relative rivendicazioni dipendenti.
In una sua definizione generale, il metodo di elaborazione dati, secondo l?invenzione, comprende le seguenti fasi:
- acquisire una prima struttura di dati che include dati sanitari di una persona. La suddetta prima struttura di dati include dati anagrafici relativi alle generalit? anagrafiche della persona, dati di provenienza relativi alla struttura sanitaria di provenienza dei dati sanitari e dati clinici relativi allo stato di salute della persona;
- elaborare i dati anagrafici inclusi nella prima struttura di dati per ottenere primi dati anonimi relativi alle generalit? anagrafiche di una persona. Tali primi dati anonimi comprendono un primo identificatore anonimo della persona, il quale ? ottenuto eseguendo una cifratura irreversibile dei dati anagrafici;
- elaborare i dati di provenienza inclusi nella prima struttura di dati per ottenere secondi dati anonimi relativi alla struttura sanitaria di provenienza dei dati sanitari. Tali secondi dati anonimi comprendono un secondo identificatore anonimo della struttura sanitaria di provenienza dei dati sanitari, il quale ? ottenuto eseguendo una cifratura irreversibile di detti dati di provenienza;
- elaborare i dati clinici inclusi nella prima struttura di dati per ottenere primi dati identificativi di detti dati clinici;
- elaborare i suddetti primi dati identificativi dei dati clinici per ottenere secondi dati identificativi dei dati clinici. Quest?ultimi sono ottenuti eseguendo una cifratura reversibile dei primi dati identificativi dei dati clinici;
- elaborare i dati ottenuti nelle fasi precedenti per ottenere una seconda struttura di dati che include i suddetti primi dati anonimi, secondi dati anonimi, primi dati identificativi dei dati clinici, secondi dati identificativi dei dati clinici e dati clinici;
- fornire detta seconda struttura di dati ad un archivio dati centralizzato. Vantaggiosamente, i dati inclusi nella seconda struttura di dati sono memorizzati, almeno in parte, in una pluralit? di basi di dati dell?archivio dati. Le suddette basi di dati sono segregate tra loro.
Secondo una forma realizzativa dell?invenzione, la suddetta prima struttura di dati ? acquisita elaborando dati sanitari grezzi della persona forniti da una o pi? sorgenti di dati di una o pi? strutture sanitarie.
Secondo un?altra forma realizzativa dell?invenzione, la suddetta prima struttura di dati ? acquisita direttamente da una sorgente di dati di una struttura sanitaria.
Secondo una forma realizzativa, il metodo di elaborazione dati, secondo l?invenzione comprende le seguenti fasi:
- elaborare i primi dati anonimi inclusi nella seconda struttura di dati per ottenere terzi dati anonimi relativi alle generalit? anagrafiche di una persona. I suddetti terzi dati anonimi comprendono un terzo identificatore anonimo della persona, il quale ? ottenuto eseguendo una cifratura irreversibile dei primi dati anonimi;
- elaborare i secondi dati anonimi inclusi nella seconda struttura di dati per ottenere quarti dati anonimi relativi alla struttura sanitaria di provenienza dei dati sanitari. I suddetti quarti dati anonimi comprendono un secondo identificatore anonimo della struttura sanitaria di provenienza dei dati sanitari, il quale ? ottenuto eseguendo una cifratura irreversibile dei secondi dati anonimi;
- elaborare i dati inclusi nella seconda struttura di dati per ottenere una terza struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti terzi dati anonimi, una quarta struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti quarti dati anonimi ed una quinta struttura di dati che include i suddetti secondi dati identificativi anonimi dei dati clinici e i suddetti dati clinici;
- memorizzare la terza struttura di dati, la quarta struttura di dati e la quinta struttura di dati rispettivamente in una prima base di dati, in una seconda base di dati e in una terza base di dati dell?archivio dati centralizzato. Le suddette prima, seconda e terza base di dati sono vantaggiosamente segregate tra loro.
Secondo un?altra forma realizzativa, il metodo di elaborazione dati, secondo l?invenzione comprende le seguenti fasi:
- elaborare i dati inclusi nella seconda struttura di dati per ottenere una quinta struttura di dati che include i suddetti secondi dati identificativi dei dati clinici e i suddetti dati clinici, una sesta struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti primi dati anonimi ed una settima struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti secondi dati anonimi;
- memorizzare la sesta struttura di dati, la settima struttura di dati e la quinta struttura di dati rispettivamente in una prima base di dati, in una seconda base di dati e in una terza base di dati dell?archivio dati centralizzato. Le suddette prima, seconda e terza base di dati sono vantaggiosamente segregate tra loro.
Secondo entrambe le forme realizzative sopra illustrate, preferibilmente, la quinta struttura di dati comprende anche informazioni anagrafiche generalizzate ottenute diluendo i suddetti dati anagrafici in modo da non poter risalire all?identit? della persona.
In un suo ulteriore aspetto, la presente invenzione si riferisce ad un sistema computerizzato per la gestione di dati sanitari, secondo la rivendicazione 7 proposta nel seguito e le relative rivendicazioni dipendenti.
In una sua definizione generale, il sistema computerizzato, secondo l?invenzione, comprende mezzi computerizzati atti ad eseguire un metodo di elaborazione dati, secondo una o pi? delle rivendicazioni precedenti.
Preferibilmente, il sistema computerizzato, secondo l?invenzione, comprende una o pi? unit? computerizzate locali ed una piattaforma computerizzata centrale che include un archivio dati centralizzato ed una o pi? unit? computerizzate. Ciascuna unit? computerizzata locale ? in grado di comunicare con la piattaforma computerizzata centralizzata e con una o pi? sorgenti di dati di una o pi? strutture sanitarie. Ciascuna unit? computerizzata locale include risorse computerizzate configurate per:
- acquisire una prima struttura di dati che include dati sanitari di una persona. La suddetta prima struttura di dati include dati anagrafici relativi alle generalit? anagrafiche della persona, dati di provenienza relativi alla struttura sanitaria di provenienza dei dati sanitari e dati clinici relativi allo stato di salute della persona;
- elaborare i dati anagrafici inclusi nella prima struttura di dati per ottenere primi dati anonimi relativi alle generalit? anagrafiche di una persona. Tali primi dati anonimi comprendono un primo identificatore anonimo della persona, il quale ? ottenuto eseguendo una cifratura irreversibile dei dati anagrafici;
- elaborare i dati di provenienza inclusi nella prima struttura di dati per ottenere secondi dati anonimi relativi alla struttura sanitaria di provenienza dei dati sanitari. Tali secondi dati anonimi comprendono un secondo identificatore anonimo della struttura sanitaria di provenienza dei dati sanitari, il quale ? ottenuto eseguendo una cifratura irreversibile di detti dati di provenienza;
- elaborare i dati clinici inclusi nella prima struttura di dati per ottenere primi dati identificativi di detti dati clinici;
- elaborare i suddetti primi dati identificativi dei dati clinici per ottenere secondi dati identificativi dei dati clinici. Quest?ultimi sono ottenuti eseguendo una cifratura reversibile dei primi dati identificativi dei dati clinici;
- elaborare i dati ottenuti nelle fasi precedenti per ottenere una seconda struttura di dati che include i suddetti primi dati anonimi, secondi dati anonimi, primi dati identificativi dei dati clinici, secondi dati identificativi dei dati clinici e dati clinici;
- fornire detta seconda struttura di dati all?archivio dati centralizzato. Vantaggiosamente, i dati inclusi nella seconda struttura di dati sono memorizzati, almeno in parte, in una pluralit? di basi di dati dell?archivio dati. Le suddette basi di dati sono segregate tra loro.
Secondo una forma realizzativa dell?invenzione, ciascuna unit? computerizzata locale include risorse computerizzate configurate per elaborare dati sanitari grezzi della persona forniti da una o pi? sorgenti di dati di una o pi? strutture sanitarie ed ottenere la suddetta prima struttura di dati.
Secondo un?altra forma realizzativa dell?invenzione, ciascuna unit? computerizzata locale acquisisce la suddetta prima struttura di dati direttamente da una sorgente di dati di una struttura sanitaria.
Secondo una forma realizzativa dell?invenzione, detta piattaforma computerizzata comprende un primo modulo computerizzato che include risorse computerizzate configurate per:
- elaborare i primi dati anonimi inclusi nella seconda struttura di dati per ottenere terzi dati anonimi relativi alle generalit? anagrafiche di una persona. I suddetti terzi dati anonimi comprendono un terzo identificatore anonimo della persona, il quale ? ottenuto eseguendo una cifratura irreversibile dei primi dati anonimi;
- elaborare i secondi dati anonimi inclusi nella seconda struttura di dati per ottenere quarti dati anonimi relativi alla struttura sanitaria di provenienza dei dati sanitari. I suddetti quarti dati anonimi comprendono un secondo identificatore anonimo della struttura sanitaria di provenienza dei dati sanitari, il quale ? ottenuto eseguendo una cifratura irreversibile dei secondi dati anonimi;
- elaborare i dati inclusi nella seconda struttura di dati per ottenere una terza struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti terzi dati anonimi, una quarta struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti quarti dati anonimi ed una quinta struttura di dati che include i suddetti secondi dati identificativi anonimi dei dati clinici e i suddetti dati clinici;
- memorizzare la terza struttura di dati, la quarta struttura di dati e la quinta struttura di dati rispettivamente in una prima base di dati, in una seconda base di dati e in una terza base di dati dell?archivio dati centralizzato. Le suddette prima, seconda e terza base di dati sono vantaggiosamente segregate tra loro.
Secondo un?altra forma realizzativa dell?invenzione, detta piattaforma computerizzata comprende un primo modulo computerizzato che include risorse computerizzate configurate per:
- elaborare i dati inclusi nella seconda struttura di dati per ottenere una quinta struttura di dati che include i suddetti secondi dati identificativi dei dati clinici e i suddetti dati clinici, una sesta struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti primi dati anonimi ed una settima struttura di dati che include i suddetti primi dati identificativi dei dati clinici e i suddetti secondi dati anonimi;
- memorizzare la sesta struttura di dati, la settima struttura di dati e la quinta struttura di dati rispettivamente in una prima base di dati, in una seconda base di dati e in una terza base di dati dell?archivio dati centralizzato. Le suddette prima, seconda e terza base di dati sono vantaggiosamente segregate tra loro.
Secondo entrambe le forme realizzative sopra illustrate, preferibilmente, la suddetta quinta struttura di dati comprende informazioni anagrafiche generalizzate ottenute elaborando suddetti dati anagrafici della persona.
Preferibilmente, detta piattaforma computerizzata comprende un secondo modulo computerizzato che include risorse computerizzate configurate per:
- acquisire una quinta struttura di dati relativi ad una persona dalla terza base di dati dell?archivio dati;
- elaborare i secondi dati identificativi dei dati clinici inclusi nella quinta struttura di dati per ottenere i suddetti primi dati identificativi dei dati clinici. I suddetti primi dati identificativi dei dati clinici sono ottenuti eseguendo una decifratura dei secondi dati identificativi dei dati clinici inclusi nella quinta struttura di dati;
- acquisire una terza struttura di dati o una sesta struttura di dati relativi ad una persona dalla prima base di dati in base dell?archivio dati ai primi dati identificativi dei dati clinici;
- acquisire una quarta struttura di dati o una settima struttura di dati relativi ad una persona dalla seconda base di dati dell?archivio dati in base ai primi dati identificativi dei dati clinici. Ulteriori caratteristiche e vantaggi della presente invenzione potranno essere meglio percepiti facendo riferimento alla descrizione data di seguito ed alle allegate figure, fornite a scopo puramente illustrativo e non limitativo, in cui:
? la figura 1 illustra schematicamente una forma realizzativa del metodo di elaborazione dati, secondo la presente invenzione;
? la figura 2 illustra schematicamente un?ulteriore forma realizzativa del metodo di elaborazione dati, secondo la presente invenzione;
? la figura 3 illustra schematicamente una forma realizzativa del sistema computerizzato, secondo la presente invenzione.
In un suo aspetto, la presente invenzione si riferisce ad un metodo di elaborazione dati 50 per la gestione di dati sanitari di una persona.
Il metodo di elaborazione dati 50 viene vantaggiosamente eseguito ogni qualvolta sia necessario gestire e conservare in modo sicuro i dati sanitari di una persona.
Ovviamente, qualora i dati sanitari acquisiti si riferiscano a pi? persone, il metodo di elaborazione dati 50 pu? essere eseguito pi? volte (anche in parallelo) per trattare i dati sanitari di ciascuna persona. Allo stesso modo, qualora sia necessario trattare dati sanitari relativi allo stesso persona ma acquisiti in istanti successivi nel tempo, il metodo di elaborazione dati 50 pu? essere eseguito pi? volte in tempi successivi per trattare i dati sanitari man mano acquisiti. Per ragioni di chiarezza, si precisa che il termine ?dati sanitari? identifica, nell?ambito della presente invenzione, dati relativi allo stato di salute fisico e mentale della persona oppure dati relativi alle caratteristiche fisiche o biologiche della persona nonch? dati relativi ai trattamenti sanitari (diagnostici, chirurgici o terapeutici) a cui tale persona ? sottoposta.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 501 di acquisire una prima struttura di dati REC1 che include dati sanitari di una persona (figure 1 e 2).
La prima struttura di dati REC1 ? un record di dati che include molteplici campi dati, ciascuno dei quali pu? essere, a sua volta, suddiviso in ulteriori sotto-campi dati, secondo le esigenze. La prima struttura di dati REC1 comprende un campo dati che raccoglie dati anagrafici AD relativi alle generalit? anagrafiche della persona.
Preferibilmente, i dati anagrafici AD comprendono informazioni quali nome e cognome della persona, data di nascita della persona, sesso della persona ed un codice identificativo univoco della persona, ad esempio il codice fiscale.
La prima struttura di dati REC1 comprende un campo dati che raccoglie dati di provenienza PRD indicativi della struttura sanitaria di provenienza dei dati sanitari. I dati di provenienza PRD comprendono vantaggiosamente informazioni relative alla struttura sanitaria che ha fornito i dati sanitari inclusi nella struttura dati REC1. Vantaggiosamente, i dati di provenienza PRD includono almeno un codice identificativo univoco della struttura sanitaria che ha fornito i dati sanitari, ad esempio la partita IVA, la ragione sociale, un acronimo identificativo generato dalla struttura sanitaria stessa, o simili.
La prima struttura di dati REC1 comprende un campo dati che raccoglie dati clinici CLN relativi alla persona, ad esempio pareri medici, risultati di analisi di laboratorio, immagini e video che documentano esami diagnostici, cartelle cliniche, e simili.
Preferibilmente, come illustrato in figura 3, la suddetta struttura di dati REC1 ? acquisita direttamente da una sorgente di dati SRC di una struttura sanitaria.
Secondo altre forme realizzative dell?invenzione, la fase di acquisire la prima struttura di dati REC1 prevede l?acquisizione di dati sanitari grezzi della persona, forniti da una o pi? sorgenti di dati SRC di una o pi? strutture sanitarie, e l?elaborazione di tali dati sanitari grezzi per ottenere la prima struttura di dati REC1. In tal caso, i dati sanitari grezzi della persona sono vantaggiosamente elaborati mediante opportuni algoritmi di disgregazione e normalizzazione dei dati (che possono essere di tipo noto) al fine di suddividere le informazioni secondo i diversi campi dati previsti per la prima struttura di dati REC1.
Le sorgenti di dati SRC sono normalmente costituite da dispositivi o apparati computerizzati inclusi nei sistemi informatici di una o pi? strutture sanitarie 100, ad esempio in sistemi informatici ospedalieri, sistemi informatici dipartimentali, sistemi informatici per l?archiviazione e la trasmissione di immagini (PACS - Picture Archiving and Communication System), e simili.
In linea di principio, per?, le suddette sorgenti di dati SRC potrebbero essere costituite da dispositivi o apparati computerizzati di tipo diverso, secondo le esigenze.
I dati resi disponibili dalle sorgenti dati SRC sono preferibilmente acquisiti automaticamente da quest?ultime, ad esempio interfacciandosi con ulteriori supporti computerizzati. In altri casi, comunque, i dati forniti dalle sorgenti di dati SRC potrebbero essere stati preventivamente caricati manualmente o scansionati da un support analogico, ad esempio cartaceo.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 502 di elaborare i dati anagrafici AD, contenuti nella struttura di dati REC1 acquisita, per ottenere primi dati anonimi ADk relativi alle generalit? anagrafiche di una persona (figure 1 e 2).
I primi dati anonimi AD<k >comprendono vantaggiosamente un primo identificatore anonimo ID<k >della persona ottenuto eseguendo una cifratura irreversibile dei dati anagrafici AD. A tal fine, possono essere impiegati vantaggiosamente algoritmi di cifratura HMAC (keyed-Hash Message Authentication Code), algoritmi di cifratura con chiavi asimmetriche (ad esempio di tipo RSA) in cui la chiave privata (normalmente usata per la decifratura) non viene generata o distrutta o resa indisponibile in altro modo, e simili.
Preferibilmente, i primi dati anonimi ADk comprendono anche informazioni anagrafiche generalizzate ADg, le quali sono state vantaggiosamente ottenute diluendo il contenuto informativo dei dati anagrafici AD in modo da non consentire di risalire univocamente all?identit? della persona. Tali informazioni aggiuntive possono comprendere, ad esempio, l?anno di nascita della persona e il sesso della persona.
In linea di principio, comunque, i primi dati anonimi ADk potrebbero comprendere ulteriori informazioni aggiuntive, in forma cifrata o in chiaro, gi? incluse nei dati anagrafici AD o ottenute elaborando informazioni incluse nei dati anagrafici AD.
? evidente che, se il metodo di elaborazione dati 50 venisse ripetuto pi? volte in relazione a diversi insiemi di dati sanitari di una stessa persona, la procedura di anonimizzazione dei dati anagrafici sopra descritta fornirebbe un medesimo risultato, in particolare un medesimo primo identificatore anonimo IDk.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 503 di elaborare i dati di provenienza PRD, contenuti nella struttura di dati REC1 acquisita, per ottenere secondi dati anonimi PRDk relativi alla struttura sanitaria di provenienza dei dati sanitari (figure 1 e 2). I secondi dati anonimi PRDk comprendono vantaggiosamente un secondo identificatore anonimo PRDIDk della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile dei dati di provenienza PRD.
Preferibilmente, il secondo identificatore anonimo PRDIDk ? ottenuto eseguendo una cifratura irreversibile di almeno un codice identificativo univoco della struttura sanitaria che ha fornito i dati sanitari, vantaggiosamente incluso nei dati di provenienza PRD.
Anche in questo caso, per la cifratura irreversibile dei dati di provenienza PRD, possono essere impiegati vantaggiosamente algoritmi di cifratura HMAC, algoritmi di cifratura con chiavi asimmetriche in cui la chiave privata per la decifratura non viene resa disponibile, e simili. In linea di principio, comunque, i secondi dati anonimi PRDk potrebbero comprendere informazioni aggiuntive, in forma cifrata o in chiaro, gi? incluse nei dati di provenienza PRD o ottenute elaborando informazioni incluse nei dati di provenienza PRD.
Anche in questo caso, se il metodo di elaborazione dati 50 venisse ripetuto pi? volte in relazione a diversi insiemi di dati sanitari forniti da una stessa struttura sanitaria 100, la procedura di anonimizzazione dei dati di provenienza sopra descritta fornirebbe un medesimo risultato, in particolare un medesimo secondo identificatore anonimo PRDIDk.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 504 di elaborare i dati clinici CLN, contenuti nella struttura di dati REC1 acquisita, per ottenere dati primi identificativi CLNID dei dati clinici suddetti (figura 1 e 2).
Preferibilmente, i primi dati identificativi CLNID comprendono un?impronta digitale CLNh dei dati clinici CLN inclusi nella struttura di dati REC1 acquisita.
Preferibilmente, tale impronta digitale ? calcolata selezionando almeno una stringa di caratteri inclusi nei dati clinici CLN o giustapponendo in una stringa di caratteri i dati clinici ed eseguendo una cifratura della stringa di caratteri cos? ottenuta mediante un algoritmo di hash, ad esempio SHA-256 o SHA-512. Ovviamente, altre modalit? di calcolo dell?impronta digitale CLNh, a partire dai dati clinici CLN inclusi nella struttura di dati REC1, sono possibili, secondo le esigenze.
In linea di principio, per?, i primi dati identificativi CLNID potrebbero comprendere un identificativo di tipo diverso (ad esempio selezionato a caso) destinato ad identificare univocamente i dati clinici CLN.
Inoltre, i primi dati identificativi CLNID potrebbero comprendere ulteriori informazioni aggiuntive, in forma cifrata o in chiaro, gi? incluse nei dati clinici CLN o ottenute elaborando informazioni incluse nei dati clinici CLN.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 505 di elaborare i primi identificativi CLNID dei dati clinici per ottenere secondi dati identificativi CLNIDk dei dati clinici in forma cifrata (figura 1 e 2).
I secondi dati identificativi CLNIDk sono vantaggiosamente ottenuti eseguendo una cifratura reversibile dei primi dati identificativi CLNIDk dei dati clinici. A tal fine, possono essere impiegati vantaggiosamente algoritmi di cifratura con chiavi asimmetriche, e simili. In questo caso, la chiave privata, usata per la decifratura, pu? essere vantaggiosamente conservata in un dispositivo certificato anti-tampering, ad esempio una smart-Card o un dispositivo HSM (Hierarchical Storage Management).
I secondi dati identificativi CLNIDk comprendono pertanto una cifratura dell?impronta digitale CLNhk dei dati clinici in forma cifrata ottenuta a partire dall?impronta digitale CLNh dei dati clinici, precedentemente calcolata.
In linea di principio, comunque, secondi dati identificativi CLNID<k >potrebbero comprendere ulteriori informazioni aggiuntive, in forma cifrata o in chiaro, gi? incluse nei primi dati identificativi CLNID dei dati clinici o ottenute elaborando informazioni incluse nei primi dati identificativi CLNID dei dati clinici.
Le fasi 502-505 del metodo di elaborazione dati 50, sopra illustrate, possono essere eseguite consecutivamente (secondo l?ordine illustrato nelle figure 1 e 2 per semplicit? espositiva), oppure secondo un ordine di esecuzione diverso, oppure o in parallelo tra loro, secondo le esigenze.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 506 di elaborare i dati ottenuti nelle fasi precedenti 501-505 per ottenere una seconda struttura di dati REC2. Anche la seconda struttura di dati REC2 ? un record di dati che include molteplici campi dati, ciascuno dei quali pu? essere, a sua volta, suddiviso in ulteriori sotto-campi dati, secondo le esigenze.
La seconda struttura di dati REC2 comprende un campo dati che raccoglie i primi dati anonimi ADk relativi alle generalit? anagrafiche di una persona, un campo dati che raccoglie i secondi dati anonimi PRDk relativi alla struttura sanitaria di provenienza dei dati sanitari, un campo dati che raccoglie i primi dati identificativi CLNID dei dati clinici CLN della persona, un campo dati che raccoglie i secondi dati identificativi CLNIDk dei dati clinici CLN della persona ed un campo dati che raccoglie i dati clinici CLN della persona.
Per la formazione della seconda struttura di dati REC2, i dati ottenuti nelle fasi precedenti 501-505 possono essere vantaggiosamente elaborati mediante noti algoritmi di aggregazione dei dati al fine di suddividere le informazioni secondo i diversi campi dati previsti per la seconda struttura di dati REC2.
Secondo l?invenzione, il metodo di elaborazione dati 50 comprende una fase 507 di fornire la seconda struttura di dati REC2 ad un archivio dati DL (figure 1 e 2).
In generale, l?archivio dati DL pu? essere di tipo noto. Ad esempio, l?archivio dati DL pu? essere un cosiddetto ?Datalake?, cio? un tipo di archivio in grado di conservare insiemi di dati di grandi dimensioni e di varia tipologia.
Come vedremo meglio nel seguito, i dati inclusi nella seconda struttura di dati REC2 sono vantaggiosamente memorizzati, almeno in parte, in una pluralit? di basi di dati DB1, DB2, DB3 dell?archivio dati DL. Tali basi di dati sono vantaggiosamente segregate tra loro in modo da rendere impossibile ogni scambio d?informazione o accesso diretto tra loro.
Secondo una forma realizzativa preferita dell?invenzione (figura 1), successivamente all?invio della seconda struttura di dati REC<2 >all?archivio dati DL, il metodo di elaborazione dati 50 comprende una fase 508 di elaborare i primi dati anonimi ADk, inclusi nella seconda struttura di dati REC2, per ottenere terzi dati anonimi ADk2 relativi alle generalit? anagrafiche di una persona.
I terzi dati anonimi ADk2 comprendono vantaggiosamente un terzo identificatore anonimo IDk2 della persona ottenuto eseguendo una cifratura irreversibile dei primi dati anonimi ADk, in particolare del primo identificatore anonimo IDk.
Come gi? illustrato, a tal fine, possono essere impiegati vantaggiosamente algoritmi di cifratura HMAC, algoritmi di cifratura con chiavi asimmetriche in cui la chiave privata per la decifratura non viene resa disponibile, e simili.
In linea di principio, i terzi dati anonimi ADk2 potrebbero comprendere ulteriori informazioni aggiuntive, in forma cifrata o in chiaro, gi? incluse nei primi dati anonimi ADk o ottenute elaborando informazioni incluse nei primi dati anonimi ADk.
Secondo la suddetta forma realizzativa preferita dell?invenzione, inoltre, successivamente all?invio della seconda struttura di dati REC2 all?archivio dati DL, il metodo di elaborazione dati 50 comprende anche una fase 509 di elaborare i secondi dati anonimi PRDk inclusi nella seconda struttura di dati REC2, per ottenere quarti dati anonimi PRDk2 relativi alla struttura sanitaria di provenienza dei dati sanitari.
I quarti dati anonimi PRDk2 comprendono vantaggiosamente un quarto identificatore anonimo PRDIDk2 della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile dei secondi dati anonimi PRDk2, in particolare del secondo identificatore anonimo PRDk.
Come gi? illustrato, a tal fine, possono essere impiegati vantaggiosamente algoritmi di cifratura HMAC, algoritmi di cifratura con chiavi asimmetriche in cui la chiave privata per la decifratura non viene resa disponibile, e simili.
In linea di principio, i quarti dati anonimi PRDk2 potrebbero comprendere ulteriori informazioni aggiuntive, in forma cifrata o in chiaro, gi? incluse nei secondi dati anonimi PRDk o ottenute elaborando informazioni incluse nei secondi dati anonimi PRDk.
Le fasi 508-509 del metodo di elaborazione dati 50, sopra illustrate, possono essere eseguite consecutivamente (secondo l?ordine illustrato in figura 1 per semplicit? espositiva), oppure secondo un ordine di esecuzione diverso, oppure in parallelo tra loro, secondo le esigenze. Secondo la suddetta forma realizzativa preferita dell?invenzione, inoltre, il metodo di elaborazione dati 50 comprende una fase 510 di elaborare i dati inclusi nella seconda struttura di dati REC<2 >e nelle precedenti fasi 508-509 del metodo di elaborazione dati per ottenere ulteriori strutture di dati da memorizzare nell?archivio dati DL, in particolare una terza struttura di dati REC3, una quarta struttura di dati REC4 e una quinta struttura di dati REC5.
Anche tali strutture di dati sono preferibilmente record di dati che includono molteplici campi dati, ciascuno dei quali pu? essere, a sua volta, suddiviso in ulteriori sotto-campi dati, secondo le esigenze.
La terza struttura di dati REC3 comprende un campo dati che include i primi dati identificativi CLNID dei dati clinici CLN (gi? inclusi nella struttura di dati REC2) ed un campo dati che include i terzi dati anonimi ADk2 relativi alle generalit? anagrafiche di una persona, calcolati nella precedente fase 508 del metodo di elaborazione.
La quarta struttura di dati REC4 comprende un campo dati che include i suddetti primi dati identificativi CLNID ed un campo dati che include i quarti dati anonimi PRDk2 relativi alla struttura sanitaria di provenienza dei dati sanitari, calcolati nella precedente fase 509 del metodo di elaborazione;
La quinta struttura di dati REC5 comprende un campo dati che include i secondi dati identificativi CLNIDk dei dati clinici CLN ed un campo dati che include i suddetti dati clinici CLN (gi? inclusi nella struttura di dati REC2).
Preferibilmente, la quinta struttura di dati REC5 comprende un ulteriore campo dati che include informazioni anagrafiche ADg generalizzate gi? incluse nella seconda struttura di dati REC2 (primi dati anonimi ADk), ad esempio l?anno di nascita e il sesso della persona.
Per la formazione delle strutture di dati REC3, REC4 e REC5, i dati inclusi nella struttura di dati REC2 e i dati ottenuti nelle fasi precedenti 508-509 possono essere vantaggiosamente elaborati mediante noti algoritmi di aggregazione dei dati al fine di suddividere le informazioni secondo i diversi campi dati previsti per le strutture di dati REC3, REC4 e REC5 suddette.
Secondo la suddetta forma realizzativa preferita dell?invenzione, il metodo di elaborazione dati 50 comprende una fase 511 di memorizzare la terza struttura di dati REC2, la quarta struttura di dati REC4 e la quinta struttura di dati REC5 rispettivamente in una prima base di dati DB1, in una seconda base di dati DB2 ed in una terza base di dati DB3 dell?archivio dati DL.
Come sopra illustrato, le suddette prima, seconda e terza base di dati DB1, DB2, DB3 sono segregate tra loro.
Secondo un?altra forma realizzativa preferita dell?invenzione (figura 2), i dati inclusi seconda struttura di dati REC2 sono direttamente memorizzati nella base di dati dell?archivio dati DL, senza ulteriori procedure di anonimizzazione.
il metodo di elaborazione dati 50 comprende pertanto una fase 512 di elaborare i dati inclusi nella seconda struttura di dati REC2 per ottenere ulteriori strutture di dati da memorizzare nell?archivio dati DL, in particolare una quinta struttura di dati REC5, una sesta struttura di dati REC6 e una settima struttura di dati REC7.
Anche tali strutture di dati sono preferibilmente record di dati che includono molteplici campi dati, ciascuno dei quali pu? essere, a sua volta, suddiviso in ulteriori sotto-campi dati, secondo le esigenze.
La quinta struttura di dati REC5 comprende un campo dati che include i secondi dati identificativi CLNIDk dei dati clinici CLN ed un campo dati che include i suddetti dati clinici CLN (gi? inclusi nella struttura di dati REC2).
Preferibilmente, la quinta struttura di dati REC5 comprende un ulteriore campo dati che include informazioni anagrafiche ADg generalizzate gi? incluse nella seconda struttura di dati REC2 (primi dati anonimi ADk), ad esempio l?anno di nascita e il sesso della persona.
La sesta struttura di dati REC6 comprende un campo dati che include i primi dati identificativi CLNID dei dati clinici CLN ed un campo dati che include i primi dati anonimi ADk relativi alle generalit? anagrafiche di una persona (gi? inclusi nella struttura di dati REC2).
La settima struttura di dati REC7 comprende un campo dati che include i suddetti primi dati identificativi CLNID ed un campo dati che include i secondi dati anonimi PRDk relativi alla struttura sanitaria di provenienza dei dati sanitari (gi? inclusi nella struttura di dati REC2). Per la formazione delle strutture di dati REC5, REC6 e REC7, i dati inclusi nella struttura di dati REC2 possono essere vantaggiosamente elaborati mediante noti algoritmi di aggregazione dei dati al fine di suddividere le informazioni secondo i diversi campi dati previsti per le strutture di dati REC5, REC6 e REC7 suddette.
Secondo la suddetta forma realizzativa preferita dell?invenzione, il metodo di elaborazione dati 50 comprende una fase 513 di memorizzare la sesta struttura di dati REC6, la settima struttura di dati REC7 e la quinta struttura di dati REC5 rispettivamente in una prima base di dati DB1, in una seconda base di dati DB2 ed in una terza base di dati DB3 dell?archivio dati DL.
Come sopra illustrato, le suddette prima, seconda e terza base di dati DB1, DB2, DB3 sono segregate tra loro.
Il metodo di elaborazione 50, sopra illustrato, presenta numerosi vantaggi.
Il metodo di elaborazione 50 consente di tutelare in modo adeguato la privacy della persona a cui i dati sanitari si riferiscono.
Le informazioni sensibili incluse nei dati sanitari acquisiti, in particolare i dati anagrafici che permettono di identificare univocamente il cliente ed i dati di provenienza che permettono di identificare univocamente la struttura sanitaria che ha fornito i dati sanitari, sono vantaggiosamente sottoposti a processi di anonimizzazione irreversibili (primi e secondi dati anonimi ADk e PRDk) che possono essere ripetuti (terzi e quarti dati anonimi ADk2 e PRDk2). La memorizzazione dei dati sanitari (suddivisi secondo strutture di dati predefinite) in basi di dati segregate tra loro consente di conservare in ambienti non comunicanti le informazioni sensibili con ci? riducendo la possibilit? di correlare tra loro i dati memorizzati.
L?impiego di un indice dei dati clinici (primi dati identificativi CLNID), associato ai dati anagrafici ed ai dati di provenienza entrambi cifrati (eventualmente pi? volte) in forma anonima, favorisce notevolmente la consultazione dei dati sanitari memorizzati a partire dai dati clinici inclusi nei dati sanitari, indipendentemente dall?identit? delle persone e delle strutture sanitarie a cui tali dati si riferiscono.
L?impiego di un indice dei dati clinici in forma cifrata (secondi dati identificativi CLNIDk), associato ai dati clinici, riduce ulteriormente la possibilit? di stabilire correlazioni tra i dati clinici memorizzati. Tale correlazione ? infatti possibile solo da chi ? in grado di conoscere la chiave privata di decifratura dell?indice cifrato CLNIDk dei dati clinici per risalire all?indice non cifrato CLNID dei dati clinici.
Da quanto sopra ? evidente come le basi di dati DB1, DB2, DB3 dell?archivio dati DL costituiscano raccolte di dati facilmente consultabili a scopo scientifico, statistico, amministrativo, etc., le quali, per costruzione, non contengono riferimenti alle persone o alle strutture sanitarie a cui i dati memorizzati si riferiscono.
Il metodo di elaborazione dati 50 ? particolarmente adatto per essere eseguito da un sistema computerizzato. Pertanto, in un suo ulteriore aspetto, la presente invenzione si riferisce ad un sistema computerizzato per la gestione di dati sanitari di una persona.
In linea di principio, tale sistema computerizzato pu? essere strutturato in qualunque modo, secondo le esigenze, purch? sia provvisto di mezzi computerizzati aventi risorse computerizzate per eseguire il metodo di elaborazione dati 50, sopra illustrato.
Per chiarezza, si specifica che, nell?ambito della presente invenzione, il termine ?risorse computerizzate? si riferisce a istruzioni, procedure, moduli software, memorizzabili su un supporto di memoria e vantaggiosamente predisposti o configurati per implementare funzionalit? di elaborazione dati, quando sono eseguiti da uno o pi? dispositivi di elaborazione digitale (ad esempio uno o pi? microprocessori).
La figura 3 illustra una forma realizzativa preferita di un sistema computerizzato di un sistema computerizzato, secondo l?invenzione.
Il sistema computerizzato 1 comprende una o pi? unit? computerizzate locali 10 ed una piattaforma computerizzata 20 che include l?archivio dati DL.
Ciascuna delle unit? computerizzate 10, cos? come la piattaforma computerizzata 20, pu? essere costituita da un singolo dispositivo o modulo computerizzato (ad esempio un server) o da pi? dispositivi o moduli computerizzati interagenti tra loro (ad esempio una rete di server), eventualmente operanti a livello ?cloud?.
Ciascuna unit? computerizzata 10 ? in grado di comunicare con la piattaforma computerizzata 20 e con una o pi? sorgenti di dati SRC di una o pi? strutture sanitarie 100, ad esempio via Internet o una qualunque rete di comunicazione LAN o WAN.
Preferibilmente, ciascuna unit? computerizzata 10 ? integrata nel sistema informatico di una struttura sanitaria 100, eventualmente operante a livello ?cloud?.
Ciascuna unit? computerizzata 10 ? configurata per elaborare, a livello locale, i dati sanitari provenienti dalle sorgenti di dati SRC di una o pi? strutture sanitarie 100.
In particolare, ciascuna unit? computerizzata 10 ? configurata per eseguire le fasi 501-507 del metodo di elaborazione dati 50, sopra illustrate.
Pi? in particolare, ciascuna unit? computerizzata 10 ? provvista di risorse computerizzate configurate per:
- acquisire una prima struttura di dati REC1 che include dati sanitari di una persona, in particolare dati anagrafici AD relativi alle generalit? anagrafiche della persona, dati di provenienza PRD relativi struttura sanitaria di provenienza dei dati sanitari, dati clinici CLN relativi allo stato di salute della persona;
- elaborare i dati anagrafici AD per ottenere primi dati anonimi ADk relativi alle generalit? anagrafiche di una persona. I primi dati anonimi ADk comprendono vantaggiosamente un primo identificatore anonimo IDk della persona ottenuto eseguendo una cifratura irreversibile dei dati anagrafici AD;
- elaborare i dati di provenienza PRD per ottenere secondi dati anonimi PRDk relativi alla struttura sanitaria di provenienza dei dati sanitari. I secondi dati anonimi PRDk comprendono un secondo identificatore anonimo PRDIDk della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile dei dati di provenienza PRD;
- elaborare i dati clinici CLN per ottenere primi dati identificativi CLNID di detti dati clinici. I primi dati identificativi CLNID comprendono un?impronta digitale dei dati clinici CLN; - elaborare i primi dati identificativi CLNID per ottenere secondi dati identificativi CLNIDk di detti dati clinici. I secondi dati identificativi CLNID<k >sono ottenuti eseguendo una cifratura reversibile dei primi dati identificativi CLNID;
- elaborare i dati ottenuti nelle fasi precedenti per ottenere una seconda struttura di dati REC2 che include i primi dati anonimi ADk, i secondi dati anonimi PRDk, i primi dati identificativi CLNID, i secondi dati identificativi CLNIDk e i dati clinici CLN;
- inviare la seconda struttura di dati REC2 alla piattaforma computerizzata 20.
Secondo alcune forme realizzative dell?invenzione (non illustrate), ciascuna unit? computerizzata locale 10 include risorse computerizzate configurate per elaborare dati sanitari grezzi della persona forniti da una o pi? sorgenti di dati SRC di una o pi? strutture sanitarie 100 ed ottenere la prima struttura di dati REC1.
Preferibilmente (come illustrato in figura 3), ciascuna unit? computerizzata locale 10 acquisisce la prima struttura di dati REC1 direttamente da una sorgente di dati SRC di una struttura sanitaria 100.
Com?? possibile notare, ciascuna unit? computerizzata 10 effettua un?anonimizzazione dei dati sensibili inclusi nei dati sanitari (primi e secondi dati anonimi ADk e PRDk) a livello locale (cio? a livello della struttura sanitaria 100), prima di trasmettere informazioni alla piattaforma computerizzata 20. Tale soluzione contribuisce a tutelare ulteriormente la privacy della persona a cui i dati sanitari si riferiscono.
Preferibilmente, ciascuna unit? computerizzata 10 invia la seconda struttura di dati REC2 alla piattaforma computerizzata 20 medianti un canale di comunicazione cifrato che utilizza, ad esempio, un protocollo di comunicazione https. La trasmissione della seconda struttura di dati REC2 avviene impiegando meccanismi di autenticazione finalizzati a garantire la sicurezza, ad esempio, meccanismi di token authentication. Anche tali soluzioni contribuiscono a tutelare ulteriormente la privacy della persona a cui i dati sanitari si riferiscono.
La piattaforma computerizzata 20 ? vantaggiosamente atta a memorizzare, almeno in parte, i dati inclusi nella seconda struttura di dati REC2 in una pluralit? di basi di dati DB1, DB2, DB3 dell?archivio dati DL, le quali sono vantaggiosamente segregate tra loro, come sopra illustrato. Vantaggiosamente, la piattaforma computerizzata 20 comprende un primo modulo computerizzato 21 destinato a elaborare le strutture di dati REC2 ricevute da ciascuna unit? computerizzata 10 nonch? gestire l?archiviazione delle informazioni incluse nelle strutture di dati REC2 alimentando le basi di dati DB1, DB2, DB3, secondo le modalit? previste dal metodo di elaborazione 50.
Secondo alcune forme realizzative preferite dell?invenzione (figura 1), il modulo computerizzato 21 comprende risorse computerizzate configurate per:
- elaborare i primi dati anonimi ADk per ottenere terzi dati anonimi ADk2 relativi alle generalit? anagrafiche di una persona. I terzi dati anonimi ADk2 comprendono un terzo identificatore anonimo IDk2 della persona ottenuto eseguendo una cifratura irreversibile dei primi dati anonimi ADk inclusi nella struttura di dati REC2;
- elaborare secondi dati anonimi PRDk per ottenere quarti dati anonimi PRDk2 relativi alla struttura sanitaria di provenienza dei dati sanitari. I quarti dati anonimi PRDk2 comprendono un secondo identificatore anonimo PRDIDk2 della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile dei secondi dati anonimi PRDk inclusi nella struttura di dati REC2;
- elaborare i dati inclusi nella seconda struttura di dati REC2 e i dati ottenuti nelle fasi precedenti per ottenere una terza struttura di dati REC3 che include i primi dati identificativi CLNID dei dati clinici (gi? inclusi nella struttura di dati REC2) e i terzi dati anonimi ADk2 (ottenuti cifrando i primi dati anonimi ADk inclusi nella struttura di dati REC2), una quarta struttura di dati REC4 che include i primi dati identificativi CLNID dei dati clinici (gi? inclusi nella struttura di dati REC2) e i quarti dati anonimi PRDk2 (ottenuti cifrando i secondi dati anonimi PRDk inclusi nella struttura di dati REC2) ed una quinta struttura di dati REC5 che include i secondi dati identificativi CLNIDk dei dati clinici e gli stessi dati clinici CLN (gi? inclusi nella struttura di dati REC2);
- memorizzare la terza struttura di dati REC3, la quarta struttura di dati REC4 e la quinta struttura di dati REC5 rispettivamente nella prima base di dati DB1, nella seconda base di dati DB2 e nella terza base di dati DB3 dell?archivio dati DL, le quali sono vantaggiosamente segregate tra loro.
Com?? possibile notare, il modulo computerizzato 21 effettua, a livello centrale, un?ulteriore anonimizzazione dei dati sensibili inclusi nei dati sanitari (terzi e quarti dati anonimi ADk2 e PRDk2). Tale soluzione, oltre a tutelare ulteriormente la privacy della persona a cui i dati sanitari si riferiscono, consente di semplificare la gestione dei processi di anonimizzazione svolti a livello locale da parte di ciascuna unit? computerizzata 10. Infatti, le chiavi pubbliche usate per cifrare i dati anagrafici AD ed i dati di provenienza PRD possono essere gestite con misure di sicurezza pi? attenuate. La conoscenza dei dati cifrati ottenuti mediante il processo di cifratura iniziale non consente infatti di risalire ai dati memorizzati nell?archivio dati DL dato che i dati memorizzati in tale archivio sono il risultato di un ulteriore processo di cifratura.
Come sopra illustrato, secondo un?altra forma realizzativa preferita dell?invenzione (figura 2), successivamente all?invio della seconda struttura di dati REC<2 >all?archivio dati DL, i dati inclusi seconda struttura di dati REC2 sono direttamente memorizzati nelle base di dati dell?archivio dati DL, senza ulteriori procedure di anonimizzazione.
In questo caso, il modulo computerizzato 21 comprende risorse computerizzate configurate per: - elaborare i dati inclusi nella seconda struttura di dati REC2 per ottenere una quinta struttura di dati REC5 che include i secondi dati identificativi CLNIDk dei dati clinici e i dati clinici CLN suddetti, una sesta struttura di dati REC6 che include i primi dati identificativi CLNID dei dati clinici e i primi dati anonimi ADk ed una settima struttura di dati REC7 che include i primi dati identificativi CLNID dei dati clinici e i secondi dati anonimi PRDk;
- memorizzare la sesta struttura di dati REC6, la settima struttura di dati REC7 e la quinta struttura di dati REC5 rispettivamente nella prima base di dati DB1, nella seconda base di dati DB2 e nella terza base di dati DB3 dell?archivio dati DL, le quali sono vantaggiosamente segregate tra loro.
Preferibilmente, la piattaforma computerizzata 20 comprende un secondo modulo computerizzato 22 destinato a gestire la consultazione delle basi di dati DB1, DB2, DB3 dell?archivio dati DL, secondo modalit? di vario tipo.
Preferibilmente, il secondo modulo computerizzato 22 ? vantaggiosamente in grado di gestire la consultazione delle basi di dati DB1, DB2, DB3 a partire dai dati clinici CLN conservati o secondo altri parametri, ad esempio l?anno di nascita o il sesso delle persone d?interesse, inclusi nelle strutture di dati REC5 conservate nella base di dati DB3.
In particolare, il secondo modulo computerizzato comprende preferibilmente risorse computerizzate configurate per:
- acquisire una quinta struttura di dati REC5 relativi ad una persona dalla terza base di dati DB3 dell?archivio dati DL;
- elaborare i secondi dati identificativi CLNIDk dei dati clinici inclusi nella quinta struttura di dati per ottenere i primi dati identificativi CLNID dei dati clinici. I primi dati identificativi CLNID sono ottenuti eseguendo una decifratura dei secondi dati identificativi CLNIDk dei dati clinici. Tale procedura di decifratura utilizza vantaggiosamente una chiave privata generata durante la cifratura dei primi dati identificativi CLNID (fase 505 del metodo di elaborazione 50);
- acquisire una terza struttura di dati REC3 o una sesta struttura di dati REC6 relativi ad una persona dalla prima base di dati DB1 in base ai primi dati identificativi CLNID dei dati clinici;
- acquisire una quarta struttura di dati REC<4 >o una settima struttura di dati REC<7 >relativi ad una persona dalla seconda base di dati DB2 in base ai primi dati identificativi CLNID dei dati clinici.
? evidente come tale soluzione faciliti notevolmente l?esecuzione di indagini sui dati sanitari conservati a fini scientifici o statistici. Ad esempio, ? possibile aggregare dati clinici che si riferiscono allo stesso persona (che rimane anonimo) e/o al medesimo fornitore di servizi sanitari (che rimane anonimo).
Preferibilmente, i dati sanitari conservati nell?archivio dati DL possono essere consultati da remoto da utenti preventivamente profilati e provvisti di opportune credenziali di accesso. A tal fine, la piattaforma computerizzata 20 comprende un terzo modulo computerizzato 23 destinato a gestire l?accesso di utenti remoti (ad esempio via Internet) e ad interagire con il secondo modulo computerizzato per consultare i dati sanitari conservati, ad esempio in base a specifiche query consentite dalla politica di gestione dell?archivio dati DL.
Si ? visto nella pratica che il metodo di elaborazione dati ed il sistema computerizzato, secondo l?invenzione, consentono di risolvere le problematiche dell?arte nota e presentano numerosi vantaggi rispetto ad essa.
Il metodo di elaborazione dati e il sistema computerizzato, secondo l?invenzione, consentono di creare raccolte di dati sanitari facilmente consultabili indipendentemente dall?identit? delle persone a cui tali dati si riferiscono e dall?identit? delle strutture di provenienza che hanno fornito tali dati.
I dati sanitari memorizzati possono cos? essere oggetto d?indagine ed analisi conservati, senza compromettere la tutela della privacy.
Il metodo di elaborazione dati e il sistema computerizzato, secondo la presente invenzione, non presentano particolari difficolt? di implementazione pratica. Per la loro realizzazione, possono essere utilizzati strumenti informatici comunemente disponibili.

Claims (13)

RIVENDICAZIONI
1. Metodo di elaborazione dati (50) per la gestione di dati sanitari caratterizzato dal fatto di comprendere le seguenti fasi:
- acquisire (501) una prima struttura di dati (REC1) che include dati sanitari di una persona, detta prima struttura di dati includendo dati anagrafici (AD) relativi alle generalit? anagrafiche della persona, dati di provenienza (PRD) relativi alla struttura sanitaria (100) di provenienza dei dati sanitari e dati clinici (CLN) relativi allo stato di salute della persona;
- elaborare (502) detti dati anagrafici (AD) per ottenere primi dati anonimi (ADk) relativi alle generalit? anagrafiche di una persona, detti primi dati anonimi (ADk) comprendendo un primo identificatore anonimo (IDk) della persona ottenuto eseguendo una cifratura irreversibile di detti dati anagrafici (AD);
- elaborare (503) detti dati di provenienza (PRD) per ottenere secondi dati anonimi (PRDk) relativi alla struttura sanitaria di provenienza dei dati sanitari, detti secondi dati anonimi (PRDk) comprendendo un secondo identificatore anonimo (PRDIDk) della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile di detti dati di provenienza (PRD);
- elaborare (504) detti dati clinici (CLN) per ottenere primi dati identificativi (CLNID) di detti dati clinici;
- elaborare (505) detti primi dati identificativi (CLNID) di detti dati clinici per ottenere secondi dati identificativi (CLNIDk) di detti dati clinici, detti secondi dati identificativi essendo ottenuti eseguendo una cifratura reversibile di detti primi dati identificativi (CLNID) di detti dati clinici;
- elaborare (506) i dati ottenuti nelle fasi precedenti per ottenere una seconda struttura di dati (REC2) che include detti primi dati anonimi (ADk), detti secondi dati anonimi (PRDk), detti primi dati identificativi (CLNID) di detti dati clinici, detti secondi dati identificativi (CLNIDk) di detti dati clinici e detti dati clinici (CLN);
- fornire (507) detta seconda struttura di dati (REC2) ad un archivio dati centralizzato (DL).
2. Metodo di elaborazione dati, secondo la rivendicazione 1, caratterizzato dal fatto di comprendere le seguenti fasi:
- elaborare (508) detti primi dati anonimi (ADk) per ottenere terzi dati anonimi (ADk2) relativi alle generalit? anagrafiche di una persona, detti terzi dati anonimi (ADk2) comprendendo un terzo identificatore anonimo (IDk2) della persona ottenuto eseguendo una cifratura irreversibile di detti primi dati anonimi (ADk);
- elaborare (509) secondi dati anonimi (PRDk) per ottenere quarti dati anonimi (PRDk2) relativi alla struttura sanitaria di provenienza dei dati sanitari, detti quarti dati anonimi (PRDk2) comprendendo un secondo identificatore anonimo (PRDIDk2) della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile di detti secondi dati anonimi (PRDk);
- elaborare (510) i dati inclusi in detta seconda struttura di dati (REC2) per ottenere una terza struttura di dati (REC3) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti terzi dati anonimi (ADk2), una quarta struttura di dati (REC4) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti quarti dati anonimi (PRDk2) ed una quinta struttura di dati (REC5) che include detti secondi dati identificativi (CLNIDk) di detti dati clinici e detti dati clinici (CLN);
- memorizzare (511) dette terza struttura di dati (REC3), quarta struttura di dati (REC4) e quinta struttura di dati (REC5) rispettivamente in una prima base di dati (DB1), in una seconda base di dati (DB2) e in una terza base di dati (DB3) di detto archivio dati (DL), dette prima, seconda e terza base di dati essendo segregate tra loro.
3. Metodo di elaborazione dati, secondo la rivendicazione 1, caratterizzato dal fatto di comprendere le seguenti fasi:
- elaborare (512) i dati inclusi in detta seconda struttura di dati (REC2) per ottenere una quinta struttura di dati (REC5) che include detti secondi dati identificativi (CLNIDk) di detti dati clinici e detti dati clinici (CLN), una sesta struttura di dati (REC6) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti primi dati anonimi (ADk) ed una settima struttura di dati (REC7) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti secondi dati anonimi (PRDk);
- memorizzare (513) dette sesta struttura di dati (REC6), settima struttura di dati (REC7) e quinta struttura di dati (REC5) rispettivamente in una prima base di dati (DB1), in una seconda base di dati (DB2) e in una terza base di dati (DB3) di detto archivio dati (DL), dette prima, seconda e terza base di dati essendo segregate tra loro.
4. Metodo di elaborazione dati, secondo la rivendicazione 2 o 3, caratterizzato dal fatto che detta quinta struttura di dati (REC5) comprende anche informazioni anagrafiche generalizzate (ADg) ottenute elaborando detti dati anagrafici (AD).
5. Metodo di elaborazione dati, secondo una delle rivendicazioni precedenti, caratterizzato dal fatto che detta prima struttura di dati (REC1) ? acquisita elaborando dati sanitari grezzi della persona forniti da una o pi? sorgenti di dati (SRC) di una o pi? strutture sanitarie (100).
6. Metodo di elaborazione dati, secondo una delle rivendicazioni da 1 a 4, caratterizzato dal fatto detta prima struttura di dati (REC1) ? acquisita direttamente da una sorgente di dati (SRC) di una struttura sanitaria (100).
7. Sistema computerizzato (1) per la gestione di dati sanitari caratterizzato dal fatto di comprendere mezzi computerizzati atti ad eseguire un metodo di elaborazione dati (50), secondo una o pi? delle rivendicazioni precedenti.
8. Sistema computerizzato, secondo la rivendicazione 7, caratterizzato dal fatto di comprendere una o pi? unit? computerizzate locali (10) ed una piattaforma computerizzata centralizzata (20) che include detto archivio dati (DL), ciascuna unit? computerizzata locale essendo in grado di comunicare con detta piattaforma computerizzata centralizzata e con una o pi? sorgenti di dati (SRC), caratterizzato dal fatto che ciascuna unit? computerizzata locale (11) include risorse computerizzate configurate per:
- acquisire una prima struttura di dati (REC1) che include dati sanitari di una persona, detta prima struttura di dati includendo dati anagrafici (AD) relativi alle generalit? anagrafiche della persona, dati di provenienza (PRD) relativi alla struttura sanitaria di provenienza dei dati sanitari, dati clinici (CLN) relativi allo stato di salute della persona;
- elaborare detti dati anagrafici (AD) per ottenere primi dati anonimi (ADk) relativi alle generalit? anagrafiche di una persona, detti primi dati anonimi (ADk) comprendendo un primo identificatore anonimo (IDk) della persona ottenuto eseguendo una cifratura irreversibile di detti dati anagrafici (AD);
- elaborare detti dati di provenienza (PRD) per ottenere secondi dati anonimi (PRDk) relativi alla struttura sanitaria di provenienza dei dati sanitari, detti secondi dati anonimi (PRDk) comprendendo un secondo identificatore anonimo (PRDIDk) della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile di detti dati di provenienza (PRD);
- elaborare detti dati clinici (CLN) per ottenere primi dati identificativi (CLNID) di detti dati clinici);
- elaborare detti primi dati identificativi (CLNID) di detti dati clinici per ottenere secondi dati identificativi (CLNIDk) di detti dati clinici, detti secondi dati identificativi essendo ottenuti eseguendo una cifratura reversibile di detti primi dati identificativi (CLNID) di detti dati clinici;
- elaborare i dati ottenuti nelle fasi precedenti per ottenere una seconda struttura di dati (REC2) che include detti primi dati anonimi (ADk), detti secondi dati anonimi (PRDk), detti primi dati identificativi (CLNID) di detti dati clinici, detti secondi dati identificativi (CLNIDk) di detti dati clinici e detti dati clinici (CLN);
- inviare detta seconda struttura di dati (REC2) all?archivio dati (DL) di detta piattaforma computerizzata (20).
9. Sistema computerizzato, secondo la rivendicazione 8, caratterizzato dal fatto che detta piattaforma computerizzata (20) comprende un primo modulo computerizzato (21) che include risorse computerizzate configurate per:
- elaborare detti primi dati anonimi (ADk) per ottenere terzi dati anonimi (ADk2) relativi alle generalit? anagrafiche di una persona, detti terzi dati anonimi (ADk2) comprendendo un terzo identificatore anonimo (IDk2) della persona ottenuto eseguendo una cifratura irreversibile di detti primi dati anonimi (ADk);
- elaborare secondi dati anonimi (PRDk) per ottenere quarti dati anonimi (PRDk2) relativi alla struttura sanitaria di provenienza dei dati sanitari, detti quarti dati anonimi (PRDk2) comprendendo un secondo identificatore anonimo (PRDIDk2) della struttura sanitaria di provenienza dei dati sanitari ottenuto eseguendo una cifratura irreversibile di detti secondi dati anonimi (PRDk);
- elaborare i dati inclusi in detta seconda struttura di dati (REC2) per ottenere una terza struttura di dati (REC3) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti terzi dati anonimi (ADk2), una quarta struttura di dati (REC4) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti quarti dati anonimi (PRDk2) ed una quinta struttura di dati (REC5) che include detti secondi dati identificativi (CLNIDk) di detti dati clinici e detti dati clinici (CLN);
- memorizzare dette terza struttura di dati (REC3), quarta struttura di dati (REC4) e quinta struttura di dati (REC<5>) rispettivamente in una prima base di dati (DB<1>), in una seconda base di dati (DB2) e in una terza base di dati (DB3) di detto archivio dati (DL), dette prima, seconda e terza base di dati essendo segregate tra loro.
10. Sistema computerizzato, secondo la rivendicazione 8, caratterizzato dal fatto che detta piattaforma computerizzata (20) comprende un primo modulo computerizzato (21) che include risorse computerizzate configurate per:
- elaborare i dati inclusi in detta seconda struttura di dati (REC2) per ottenere una quinta struttura di dati (REC5) che include detti secondi dati identificativi (CLNIDk) di detti dati clinici e detti dati clinici (CLN), una sesta struttura di dati (REC6) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti primi dati anonimi (ADk) ed una settima struttura di dati (REC7) che include detti primi dati identificativi (CLNID) di detti dati clinici e detti secondi dati anonimi (PRDk);
- memorizzare dette sesta struttura di dati (REC6), settima struttura di dati (REC7) e quinta struttura di dati (REC5) rispettivamente in una prima base di dati (DB1), in una seconda base di dati (DB2) e in una terza base di dati (DB3) di detto archivio dati (DL), dette prima, seconda e terza base di dati essendo segregate tra loro.
11. Sistema computerizzato, secondo una delle rivendicazioni da 8 a 10, caratterizzato dal fatto che ciascuna unit? computerizzata locale (10) include risorse computerizzate configurate per elaborare dati sanitari grezzi della persona forniti da una o pi? sorgenti di dati (SRC) ed ottenere detta prima struttura di dati (REC1).
12. Sistema computerizzato, secondo una delle rivendicazioni da 8 a 10, caratterizzato dal fatto che ciascuna unit? computerizzata locale (10) acquisisce detta prima struttura di dati (REC1) direttamente da una sorgente di dati (SRC).
13. Sistema computerizzato, secondo una delle rivendicazioni da 8 a 12, caratterizzato dal fatto che detta piattaforma computerizzata comprende un secondo modulo computerizzato (22) che include risorse computerizzate configurate per:
- acquisire una quinta struttura di dati (REC5) relativi ad una persona da detta terza base di dati (DB3) di detto archivio dati (DL);
- elaborare i secondi dati identificativi (CLNIDk) di detti dati clinici inclusi in detta quinta struttura di dati per ottenere detti primi dati identificativi (CLNID) di detti dati clinici, detti primi dati identificativi (CLNID) essendo ottenuti eseguendo una decifratura di detti secondi dati identificativi (CLNIDk);
- acquisire una terza struttura di dati (REC3) o una sesta struttura di dati (REC6) relativi ad una persona da detta prima base di dati (DB<1>) in base a detti primi dati identificativi (CLNID) di detti dati clinici;
- acquisire una quarta struttura di dati (REC4) o una settima struttura di dati (REC7) relativi ad una persona da detta seconda base di dati (DB2) in base a detti primi dati identificativi (CLNID) di detti dati clinici.
IT102021000010397A 2021-04-23 2021-04-23 Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari. IT202100010397A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT102021000010397A IT202100010397A1 (it) 2021-04-23 2021-04-23 Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102021000010397A IT202100010397A1 (it) 2021-04-23 2021-04-23 Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari.

Publications (1)

Publication Number Publication Date
IT202100010397A1 true IT202100010397A1 (it) 2022-10-23

Family

ID=77126924

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102021000010397A IT202100010397A1 (it) 2021-04-23 2021-04-23 Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari.

Country Status (1)

Country Link
IT (1) IT202100010397A1 (it)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090254572A1 (en) * 2007-01-05 2009-10-08 Redlich Ron M Digital information infrastructure and method
WO2016115551A1 (en) * 2015-01-16 2016-07-21 Pricewaterhousecoopers Llp Healthcare data interchange system and method
US20200035340A1 (en) * 2017-11-17 2020-01-30 LunaPBC Origin protected omic data aggregation platform

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090254572A1 (en) * 2007-01-05 2009-10-08 Redlich Ron M Digital information infrastructure and method
WO2016115551A1 (en) * 2015-01-16 2016-07-21 Pricewaterhousecoopers Llp Healthcare data interchange system and method
US20200035340A1 (en) * 2017-11-17 2020-01-30 LunaPBC Origin protected omic data aggregation platform

Similar Documents

Publication Publication Date Title
US20190122753A1 (en) Method, apparatus and system for rendering and displaying medical images
TWI254233B (en) Data processing system for patient data
JP5008003B2 (ja) 患者の再識別のためのシステムおよび方法
WO2017074017A1 (ko) 환자정보 보호를 위한 의료영상의 클라우드 데이터베이스 구축 및 판독 방법
EP3016011A1 (en) Method for privacy-preserving medical risk tests
US20090110192A1 (en) Systems and methods for encrypting patient data
RU2510968C2 (ru) Способ доступа к персональным данным, таким как индивидуальный медицинский файл, с использованием локального формирующего компонента
EP3438869A1 (en) Anonymizing data
US8498884B2 (en) Encrypted portable electronic medical record system
CA2564317C (en) Mediated data encryption for longitudinal patient level databases
JP2001357130A (ja) 診療情報管理システム
JP2007148510A (ja) 医用情報管理システム
US20210005296A1 (en) System and method for determining best practices for third parties accessing a health care network
CN112017761A (zh) 一种电子医学影像中嵌入医疗信息的系统及方法
KR20110066576A (ko) 임상시험 및 임상연구용 의료 정보관리 시스템 및 방법
CN111370118A (zh) 跨医疗机构的诊疗安全分析方法、装置和计算机设备
US20130266135A1 (en) System for DNA Identification Hiding Personal Traits
CN110419043A (zh) 个人医疗信息数据管理方法及系统
US20150254416A1 (en) Method and system for providing medical advice
CN114121197A (zh) 医疗数据安全管控系统
Yongjoh et al. Development of an internet-of-healthcare system using blockchain
EP4035095A1 (en) Utilizing a user&#39;s health data stored over a health care network for disease prevention
WO2021067141A1 (en) System and method for providing access of a user&#39;s health information to third parties
IT202100010397A1 (it) Metodo di elaborazione dati e sistema computerizzato per la gestione di dati sanitari.
JP2016505948A (ja) マルチサイトパフォーマンス測定を匿名にし、匿名データの処理及び再識別を制御する方法及びシステム