GDPR e dati sanitari

Violazione dati sanitari – ad una anno da WannaCry, cosa abbiamo imparato?

Il trattamento dei dati personali nel mondo sanitario

Ci stiamo avvicinando alla piena applicazione del Regolamento 2016/679, e, analizzando i soggetti che saranno a breve chiamati all’espletazione delle articolate e complesse attività previste dal testo legislativo Europeo, ritengo necessario focalizzare seppur brevemente l’attenzione al mondo sanitario, in ragione della estrema delicatezza dei dati trattati ed ai rischi connessi ad una non corretta gestione di tali dati e possibile violazione.

Dopo Wannacry, cos’è cambiato ad oggi per la tutela dei dati?

A distanza di un anno circa dal worm ransomware denominato WannaCry, che ha colpito nel maggio del 2017 circa 150 paesi, coinvolgendo oltre 230 mila computer, tra i quali 16 importanti strutture ospedaliere britanniche, corre l’obbligo di porre l’attenzione su ciò che è stato fatto affinché possano essere prevenuti attacchi di tale portata, e soprattutto su ciò che si possa, o meglio debba, fare in futuro.

GDPR, obblighi trattamento dati personali relativi alla salute

Il GDPR ha certamente il pregio di porre l’attenzione dei soggetti titolari del trattamento di dati relativi alla salute, meritevoli di particolare attenzione e tutela, sulla necessità di rendere tutti i processi e le attività connesse a tale trattamento rispondenti ai principi ed istituti introdotti dal Regolamento medesimo.

Privacy – il Dato Personale relativo alla salute

Cercando di fare chiarezza su quest’argomento, tanto spinoso quanto delicato, ritengo necessario partire dalla definizione che il Regolamento Europeo fornisce all’art 4.15 circa i dati relativi alla salute “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

Tale articolo è posto in connessione al Considerando n. 35, il quale testualmente recita “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio (9); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Come è facilmente intuibile, tale tipologia di dati non può che essere considerata “sensibile” (riferendoci in tal modo ad una vecchia definizione) in considerazione della particolare tutela che necessita la libertà personale connessa alla sfera personalissima qual è la salute fisica e mentale dei cittadini/pazienti.

Sanità 2.0 – come la digitalizzazione del mondo sanitario dovrà fare i conti con la tutela dei dati sensibili

L’avvento della digitalizzazione nel mondo sanitario, rappresentato dai progetti relativi alla telemedicina, alla cartella clinica digitale, al fascicolo sanitario elettronico, al dossier sanitario, ai referti on-line, ed ai wearable devices, rappresenta una porta d’accesso ad una moltitudine di dati che, ove non correttamente trattati, può rappresentare una possibile ghiotta “tentazione” per attacchi interni o con strumenti denominati ransomware o simili.

Data Breach

L’aspetto patologico che viene posto in particolare attenzione è rappresentato ovviamente dal Data Breach, la cui definizione viene riportata nel medesimo Regolamento all’art. 4.12[1].

Il Considerando n. 85 individua alcune tra le possibili conseguenze delle violazioni, tra le quali la perdita del controllo dei dati personali o limitazione dei loro diritti, discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale.

In buona sostanza, il Data Breach si concretizza nella perdita dei dati trattati, ovvero nella loro distruzione non autorizzata, divulgazione ed accesso posto in essere ad opera di soggetti non autorizzati.

Varie sono le attività che possono essere alla base della violazione, e sono così suddivise:

  • Errore umano – identifica tutte quelle attività riconducibili ad attività non volute (smarrimento di smartphone, tablet, PC, usb drive) che determinano la possibile fuoriuscita di dati in modo incontrollato e non tracciato.
  • Attività infedele – attiene alle attività che possono essere compiute ad opera di personale interno al soggetto titolare dei dati, in grado di accedere ai dati (modifica non autorizzata, rivelazione non autorizzata, furto).
  • Accesso abusivo – attiene alla attività illecita di accesso non autorizzato ai dati attraverso i sistemi informatici da parte di soggetti esterni (hacker), con la finalità di acquisire e divulgare (o minacciare) i dati medesimi.

Attacchi informatici con richiesta di riscatto digitale

Recentemente sono stati pubblicati allarmanti rapporti che rappresentano come nel corso degli ultimi anni siano cresciuti esponenzialmente gli attacchi informatici ransomware nei confronti delle strutture sanitarie, finalizzate alla richiesta di importanti somme di denaro quali “riscatto digitale” per evitare la divulgazione o cancellazione dei dati.

Il Rapporto reso pubblico recentemente dalla Thales Security (dati che peraltro confermano rapporti analoghi promossi dalla Società Symantec e Mc Afee Labs) informa che circa il 77% delle strutture sanitarie statunitensi hanno subito attacchi informatici rappresentando un danno economico stimato in oltre 250 milioni di Dollari, con un trend di crescita di tali fenomeni che è passato dal 18% del 2016 al 20% del 2017, al 48% in questi primi mesi del 2018.

Gestione dei dati sensibili

Le ragioni di tale impennata possono probabilmente essere rappresentate dalla attuale facilità di accesso ai dati sanitari, la cui tutela non ha ancora visto una compiuta applicazione di processi altamente tecnologici quali quelli posti in essere da organizzazioni industriali, bancarie o finanziarie (che nel passato erano state oggetto di pesanti e ripetuti attacchi informatici).

Chi può accedere a cosa? O meglio, chi può trattare i dati sanitari? Con quali criteri di sicurezza?

Altra ragione che possa fornire una spiegazione relativa a tale fenomeno potrebbe essere ricercata nella frammentazione di strumenti deputati all’archiviazione dei dati sanitari ed alla moltitudine di soggetti che, a vario titolo, sono titolati ad accedervi (personale medico, personale infermieristico, personale amministrativo, personale tecnico), il cui comportamento, volontario, e molto più spesso involontario, potrebbe determinare l’apertura di un gate verso l’esterno (si pensi a solo titolo esemplificativo al non corretto utilizzo di usb-drive personali non criptate collegate ai terminali aziendali, che potrebbero determinare l’intromissione di worm nei sistemi, oppure alla erronea visione di materiale personale attraverso l’utilizzo di postazioni aziendali, o ancora allo smarrimento di device non criptati, che potrebbero determinare l’intromissione in banche dati fisiche o cloud).

Obblighi per il titolare del trattamento dati

Il titolare dei dati, in relazione alla tipologia di attività espletate, alla valenza dei dati trattati ed all’organizzazione interna, avrà pertanto l’onere di effettuare un’attenta valutazione preliminare dei rischi connessi, in modo da poter permettere agli organi preposti (titolare, DPO, Data Privacy Manager) di porre in essere le misure adeguate ed efficaci a limitare e/o evitare le possibili violazioni, anche ponendo in essere le attività cosiddette di Privacy by Design e la Privacy by Default, che rappresentano l’organizzazione e la gestione dei dati personali, attraverso una vera e propria progettazione iniziale, affiancata dalla continuativa analisi del trattamento.

La fondamentale fase By Design rappresenta invero una attività (sinergica tra le necessità tecniche e quelle di natura giuridica) necessaria al fine di individuare le corrette procedure finalizzate a limitare le possibili violazioni, che potranno avere ad oggetto ad esempio l’individuazione dei soggetti autorizzati al trattamento dei dati (previsione di codici di accesso limitati), la predisposizione delle dotazioni tecniche informatiche (accesso a server o servizi cloud professionali), la minimizzazione dell’uso dei dati (trattenere solo i dati necessari alla finalità che il titolare del trattamento si prefigge), la anonimizzazione dei dati (processo che rende non identificabile l’associazione dei dati alle persone fisiche), la pseudononomizzazione (tecnica di protezione dei dati attraverso chiavi di crittografia).

Privacy by Default – il controllo sul trattamento dei dati

Come ben evidenziato dal GDPR, oltre ad una attenta e fondamentale fase iniziale di progettazione, dovrà seguire una altrettanto necessaria attività di adeguamento alle procedure di tutela dei dati, indicata quale Privacy by Default, che può essere definita come il costante controllo sul trattamento dei dati, in modo che tutti i processi avvengano nel rispetto del Regolamento e limitino il rischio di violazioni.

Ulteriore attività, che dovrebbe essere posta nella necessaria e dovuta attenzione, in particolar modo proprio dalle Aziende che trattano i dati di natura sanitaria, attiene alla applicazione del principio di resilienza attiva, che può essere declinato nella individuazione di corrette discipline di Business Continuity e Crisis Management, che rappresentano le strategie necessarie al fine di una continuità operativa e gestionale delle attività nonostante l’accadimento di un Data Breach.

Molto ancora invero si dovrà mettere in campo, ma la strada sembra delineata, anche a fronte dei recenti accadimenti che riguardano le società della Tech Economy, le cui ripercussioni economiche globali non tarderanno a farsi sentire.

[1] Personal Data Breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.

Avv. Gianluca Marmorato

Chi è Avv. Gianluca Marmorato