Sicurezza dati sanitari. Garante privacy: “Nel 2018 cyber attacchi aumentati del 99%”
Il dato rilevato dal presidente Antonello Soro nel suo discorso di presentazione della Relazione al Parlamento. “La carente sicurezza dei dati e dei sistemi che li ospitano può rappresentare, in altri termini, una causa di malasanità. La violazione delle regole essenziali di protezione dati può avere effetti deleteri nei processi medici, tanto più gravi ove quei processi incidano su aspetti qualificanti l’esistenza individuale: la nascita, la morte, la genitorialità”. LA RELAZIONE – IL DISCORSO DI SORO
07 MAG - “Il 2018 è stato definito, dal Clusit, l’anno peggiore relativamente alla sicurezza cibernetica, così costantemente esposta a minacce da configurare una sorta di cyber-guerriglia permanente. E se nel settore pubblico in generale gli attacchi sono cresciuti nell’ultimo anno del 41%, in ambito sanitario l’incremento ha toccato l’acme del 99% rispetto all’anno precedente, con effetti tanto più gravi che in altri settori perché l’alterazione dei dati sanitari può determinare - come abbiamo sottolineato anche rispetto al fascicolo sanitario elettronico - errori diagnostici o terapeutici”. È quanto ha affermato il Garante della Privacy,
Antonello Soro nel suo discorso di presentazione della Relazione al Parlamento
“La carente sicurezza dei dati e dei sistemi – ha rilevato Soro - che li ospitano può rappresentare, in altri termini, una causa di malasanità. O, come nel caso di cui ci siamo occupati, degli embrioni scambiati, la violazione delle regole essenziali di protezione dati può avere effetti deleteri nei processi medici, tanto più gravi ove quei processi incidano su aspetti qualificanti l’esistenza individuale: la nascita, la morte, la genitorialità. Specularmente, la protezione dei dati è un fattore determinante di efficienza sanitaria, funzionale anche alla correttezza del processo analitico fondato su big data. Dall’esattezza dei dati utilizzati nel processo algoritmico dipende, infatti, l’“intelligenza” delle loro scelte, che tanto più in ambito diagnostico non possono tollerare errori”.
La sintesi della Relazione al Parlamento
L'Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2018.
La Relazione chiude il settennato del Collegio presieduto da Antonello Soro e illustra i diversi fronti sui quali è stata impegnata in questi anni l'Autorità. La Relazione fa inoltre il punto sullo stato di attuazione della legislazione in materia alla luce del
Regolamento Ue e indica gli scenari che si aprono per la protezione dei dati personali.
L’obiettivo dell’Autorità è stato in questi anni quello di rispondere alle sfide poste dai nuovi modelli economici fondati sullo sfruttamento dei dati e, di conseguenza, alle accresciute esigenze di tutela dei diritti fondamentali delle persone, assicurando una sempre più efficace protezione dei loro dati.
Il 2018 ha peraltro rappresentato per l’Autorità una tappa di grande importanza con l’entrata nella sua piena applicazione del nuovo Regolamento Ue in materia di dati personali, che ha introdotto nuovi diritti per gli individui e nuove responsabilità per chi, soggetti privati o pubblici, tratta i dati.
Gli interventi più rilevanti
Il 2018 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; le grandi piattaforme; i big data; gli algoritmi ad uso sociale; la pervasività delle diverse forme di controllo e la raccolta dei dati; la profilazione on line, anche a fini di condizionamento dell’opinione pubblica; le fake news; la cybersecurity; l’Internet delle cose; il revenge porn.
L’anno appena trascorso è stato caratterizzato da fatti clamorosi che hanno messo a rischio la sicurezza informatica di milioni di persone in tutto il mondo. E sotto il profilo degli utilizzi illeciti dei dati personali sulle piattaforme social, va ricordato il caso Cambridge Analytica, che ha visto l’intervento dell’Autorità, volto ad accertare le responsabilità e a mettere in guardia sui rischi per la libertà delle persone da forme distorte di influenza politica. Il Garante ha vietato a Facebook l’ulteriore trattamento dei dati degli utenti italiani, riservandosi di avviare un procedimento sanzionatorio.
E’ proseguito il lavoro svolto per assicurare la protezione on line dei minori, in particolare riguardo ai possibili rischi insiti negli smart toys. Per combattere il fenomeno del cyberbullismo il Garante ha predisposto, alla luce dei nuovi compiti assegnati dal legislatore, misure e procedure per la rimozione dei contenuti offensivi e ha siglato un protocollo di intesa con la Polizia postale e con alcuni Co.Re.Com. con l’obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Il Garante ha fornito indicazioni sull’uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware, il programma informatico diffuso per bloccare un dispositivo elettronico (pc, tablet, smartphone, smart tv), o criptare i dati in esso contenuti (foto, video, file), e chiedere un riscatto per "liberarlo".
Nel mondo del lavoro il Garante ha indicato le garanzie per la raccolta delle impronte digitali per i dipendenti pubblici a fini di lotta all’assenteismo e ha fissato le regole per l’uso delle nuove tecnologie, con particolare riguardo alla geolocalizzazione dei lavoratori. E’ intervenuto a vietare i controlli massivi su mail e smartphone dei dipendenti e prassi di valutazione del loro operato lesive della dignità.
Sul fronte cybersecurity l’Autorità ha proseguito anche nel 2018 l’attività di vigilanza e intervento procedendo d’ufficio o a seguito di specifiche segnalazioni o comunicazioni relative a violazioni di dati personali (data breach), alcune delle quali particolarmente gravi.
Ha inoltre dato una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.
In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata rafforzata la cooperazione con l’intelligence con la sigla di un nuovo protocollo d’intenti con il Dis.
Nel 2018 si sono consolidati i criteri per l’esercizio del diritto all’oblio e per la sua tutela al di là dei confini europei.
Nel settore della sanità il Garante è intervenuto con un provvedimento generale a chiarire come attuare le novità introdotte dal Regolamento Ue.
In materia di trasparenza on line della P.a. il Garante ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone. E’ intervenuto a bloccare la diffusione on line, su siti di amministrazioni pubbliche, di dati sensibili delle persone. Ha fissato precise regole per l’esercizio del diritto di accesso civico.
L’Autorità ha chiesto garanzie riguardo al nuovo censimento permanente, che prevede l’integrazione di banche dati e l’uso massivo dei dati dell’intera popolazione.
Una particolare azione è stata intrapresa per aumentare il livello di sicurezza della Pa digitale e per rafforzare le garanzie per i cittadini nell’attuazione dello Spid.
Per quanto riguarda il sistema della fiscalità, il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle entrate potesse avviare il nuovo obbligo della fatturazione elettronica e ha chiesto e ottenuto tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti.
Anche riguardo al reddito di cittadinanza, l’Autorità ha chiesto e ottenuto una serie di misure atte ad impedire un monitoraggio troppo invasivo sulle scelte di consumo individuali e per conformare il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza alla normativa europea.
Ha inoltre prescritto misure tecniche riguardo all’accesso alla dichiarazione dei redditi precompilata da parte di contribuenti, Caf e soggetti autorizzati. Particolare impegno è stato rivolto anche nel 2018 alla messa in sicurezza delle grandi banche dati pubbliche, prima fra tutte quella dell’ Anagrafe tributaria.
Nel settore della giustizia, l’Autorità ha proposto misure per assicurare maggiori garanzie nell’uso dei captatori informatici a fini investigativi.
Sul fronte della tutela dei consumatori il Garante ha dettato regole per il trattamento dei dati effettuato attraverso i totem pubblicitari nelle stazioni ferroviarie ed ha proseguito l’impegno contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni agli operatori che utilizzano i dati degli abbonati senza il loro consenso. Il Garante ha accertato rilevanti illeciti da parte di società di telefonia, ha svolto ispezioni presso diversi call center e ha suggerito al legislatore modifiche normative per rafforzare le garanzie dei cittadini.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per assicurare le opportune tutele innanzitutto nei confronti delle vittime di violenza sessuale e dei minori coinvolti in fatti di cronaca.
Il 2018 ha visto il Garante costantemente impegnato nell'azione di supporto a imprese e pubbliche amministrazioni e in una intensa attività di formazione in vista della definitiva applicazione del Regolamento Ue in materia di protezione dei dati.
Le cifre
Nel 2018 sono stati adottati 517 provvedimenti collegiali.
L’Autorità ha fornito riscontro a oltre 5.600 quesiti, reclami e segnalazioni con specifico riferimento a diversi settori: marketing telefonico e cartaceo; centrali rischi; credito al consumo; videosorveglianza; concessionari di pubblico servizio; recupero crediti; settore bancario e finanziario; assicurazioni; lavoro; enti locali; sanità e servizi di assistenza sociale.
I ricorsi, decisi fino all’applicazione del Regolamento Ue, sono stati 130 e hanno riguardato soprattutto editori (anche televisivi); datori di lavoro pubblici e privati; banche e società finanziarie; P.a. e concessionari di pubblici servizi; fornitori telefonici e telematici.
I pareri resi dal Collegio al Governo e al Parlamento sono stati 28 (di cui 5 su norme di rango primario) ed hanno riguardato, tra l’altro, l’attività di polizia e sicurezza nazionale; il casellario giudiziale; i trattamenti di dati a fini di polizia; le misure antiassenteismo e la raccolta delle impronte digitali dei dipendenti pubblici; il Programma statistico nazionale; il “bonus cultura”; il Fascicolo sanitario elettronico; la carta di identità elettronica; il Registro tumori; l’Archivio dei rapporti finanziari; l’Anagrafe nazionale dei vaccini; il fisco. 44 sono stati i pareri resi ai sensi della normativa sulla trasparenza.
Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 27, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati e illecito controllo a distanza dei lavoratori.
Le violazioni amministrative contestate nel 2018 sono state 707, in larghissima parte concernenti il trattamento illecito di dati; la mancata adozione di misure di sicurezza; il telemarketing; le violazioni di banche dati; l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; l'omessa esibizione di documenti al Garante.
Le sanzioni amministrative riscosse ammontano a oltre 8 milioni 160 mila euro, segnando circa 115% in più rispetto al 2017.
Sono state effettuate 150 ispezioni. Gli accertamenti, svolti nel 2018 anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche, hanno riguardato numerosi e delicati settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito; da società per attività di rating sul rischio e sulla solvibilità delle imprese; dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; da società che svolgono attività di telemarketing; da società che offrono servizi di “money transfer”.
Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l’installazione di “scatole nere” a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app. Per quanto riguarda il settore pubblico, l´attività di verifica si è concentrata su enti pubblici, soprattutto Comuni e Regioni, che svolgono trattamenti di dati personali mediante app per smartphone e tablet, (con particolare attenzione all’eventuale profilazione e geolocalizzazione degli utenti); sulle grandi banche dati; sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit; sul sistema informativo dell´Istat e sullo Spid.
Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a 22.800 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti legati all’applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; alla videosorveglianza; al rapporto di lavoro; ai dati bancari.
L’attività internazionale
Non meno rilevante e intensa l’attività del Garante a livello internazionale, che a livello Ue è stata caratterizzata soprattutto dalla definitiva applicazione del nuovo Regolamento in materia di protezione dei dati (GDPR), il 25 maggio 2018.
Con il nuovo Regolamento, l’Advisory Board, che riuniva le Autorità dei 28 Paesi Ue, è stato sostituito dal nuovo “Comitato europeo per la protezione dei dati”, con un ruolo non solo consultivo, ma anche decisionale. Il Garante ha continuato a fornire i propri contributi prima all’Advisory Board e poi al Comitato: in particolare, riguardo all’elaborazione di importanti Linee guida sull’interpretazione e l’applicazione delle disposizioni del Regolamento (Ue), tra le quali quelle sul consenso; sulla trasparenza; sui registri dei trattamenti; sulla profilazione e le decisioni automatizzate; sull’adeguatezza del Paese terzo in caso di trasferimenti di dati extra Ue; sui data breach.
Il Garante partecipa, inoltre, dal 25 maggio 2018 ai meccanismi di cooperazione (“sportello unico”) e coerenza previsti dal Regolamento, attraverso scambi quotidiani di informazioni e documentazione (in particolare concernenti decisioni su reclami transfrontalieri) sul sistema IMI utilizzato allo scopo. Le riunioni svolte a Bruxelles sono state 66.
Per quanto riguarda altri settori di attività che hanno visto l’apporto del Garante, occorre ricordare in primo luogo il parere reso dal Comitato europeo sul progetto di decisione relativa all’adeguatezza del Giappone ai fini del trasferimento di dati personali, (successivamente al quale la Commissione europea ha emanato la relativa decisione finale), nonché l’attività connessa agli sviluppi del progetto di Regolamento Ue relativo alla e-privacy (riguardante le comunicazioni elettroniche).
Da sottolineare anche l’attività del Garante italiano per il Consiglio d’Europa, che - attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante del Garante italiano - ha concluso i lavori tesi alla “modernizzazione” della Convenzione 108 del 1981 sulla protezione dei dati e ha predisposto anche
Linee guida in materia di intelligenza artificiale, Raccomandazioni per la tutela della privacy nei media e una Guida pratica sull’utilizzo dei dati personali per finalità di polizia.
Rilevante anche l’attività svolta in seno all’OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell’economia digitale. Si è intensificata anche la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN), che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati.
Intenso il lavoro svolto in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti).
Va ricordato, infine, che nel 2018 il Consiglio d’Europa ha deciso di istituire un premio dedicato alla memoria di Stefano Rodotà, destinato a giovani ricercatori per progetti particolarmente innovativi in materia di privacy e protezione dei dati.
07 maggio 2019
© Riproduzione riservata
Altri articoli in Governo e Parlamento