29 novembre -
Gentile direttore,
la cronaca recente ha messo in luce la stretta correlazione tra il diritto alla salute e la protezione dei dati personali. Evocativo è il caso di alcuni ospedali che – a causa della compromissione dei propri sistemi informativi e/o documentali e della conseguente impossibilità di utilizzare i dati ivi archiviati – non hanno potuto ricoverare i propri pazienti o offrire loro le cure adeguate, arrivando - nei casi più estremi - addirittura a provocarne la morte.
Tra le principali cause degli incidenti di questo tipo figurano gli attacchi informatici. Ne è un esempio l’episodio che ha visto coinvolta, tra luglio e agosto scorsi, la Regione Lazio. Come noto, l’attacco informatico subito dall’Ente ha interessato anche dati relativi alla salute - peraltro di un numero elevato di persone - causando il blocco temporaneo della somministrazione di vaccini anti Covid-19 su tutto il territorio regionale. Lascio alla fantasia del lettore immaginare gli scenari peggiori potenzialmente prospettabili in casi del genere. L’attacco di natura ransomware è stato gestito dall’amministrazione regionale in modo confuso e approssimativo, a partire dalla comunicazione istituzionale in merito allo stesso. Ciò lascia presupporre che – come spesso succede in questi casi – esso sia stato determinato da gravi disattenzioni da parte di risorse umane scarsamente preparate in termini di protezione dei dati personali e sicurezza informatica.
L’episodio della Regione Lazio è, purtroppo, solo uno dei tanti verificatisi nell’ultimo periodo.
L’Agenzia dell’Unione Europea per la cybersicurezza (ENISA)
nei suoi ultimi rilievi sui data breach determinatisi a livello europeo riporta che nel settore dell’assistenza sanitaria, a partire dal 2016, l’hacking è stata la causa principale di violazioni di sicurezza che hanno comportato la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato a dati riferibili a persone fisiche identificate o identificabili. E la tendenza non si è arrestata nel 2020, anno in cui il settore si conferma essere tra i target più attraenti per la criminalità informatica. Addirittura, secondo gli ultimi dati forniti dalla società TrendMicro, nel 2020 sono stati 20.777 i malware unici e 2.063 i ransomware unici che hanno colpito strutture sanitarie italiane. Un quadro davvero drammatico.
Va sottolineato che – come già prima anticipato - la buona riuscita degli attacchi informatici dipende quasi sempre da un errore umano, piuttosto che dall’astratta inadeguatezza delle misure di sicurezza adottate dall’ente, o – ancor di più - da un letale mix di questi due elementi. Il fattore umano, in particolare, gioca un ruolo primario nella protezione dei dati, e di questo è bene esserne consapevoli, a tutti i livelli. Il semplice invio di una e-mail a un destinatario errato, piuttosto che un click di troppo, per esempio su un link solo apparentemente genuino, sono in grado in alcuni casi di sgretolare misure tecniche di protezione - magari anche all’avanguardia, eventualmente messe in atto in modo poco accorto e senza sviluppare un’accurata mappatura dei trattamenti e, quindi, una puntuale analisi dei rischi - causando così gravissimi danni, non solo alla struttura sanitaria coinvolta, ma anche alle persone, fino addirittura a comprometterne in maniera irreversibile la salute, come già riferito in precedenza. Anche per questo, i dati relativi alla salute costituiscono un
asset di estrema importanza, da tutelare di conseguenza, e risulta fondamentale trattarli correttamente, mirando a prevenirne in modo concreto e organizzato le violazioni. Prevenire, per poter curare, in questo caso.
E la prevenzione serve secondo il GDPR a predisporre, appunto, misure di sicurezza organizzative e tecnologiche che siano idonee a minimizzare i rischi per i diritti e le libertà di persone fisiche, dunque dei cittadini, in questo caso pazienti di strutture sanitarie. Del resto, proteggere dati personali significa avere a che fare con diritti fondamentali di individui e per questo la normativa europea prevede sanzioni salatissime in caso di sua violazione.
Peraltro, AGID (Agenzia Italiana per l’Italia Digitale) ha emanato il 18 aprile 2017 la Circolare n. 2/2017 che sancisce un elenco strutturato di misure minime di sicurezza ICT per le P.A. che sarebbero obbligatorie dal 31/12/2017. Tali misure minime di sicurezza costituiscono un riferimento pratico per valutare e migliorare il livello di sicurezza informatica delle amministrazioni pubbliche, proprio al fine di contrastare le minacce informatiche più comuni e frequenti. Le misure consistono in controlli di natura tecnologica, organizzativa e procedurale e sono utilissime alle PA per valutare il proprio livello di sicurezza informatica. Purtroppo, la maggior parte delle PA e delle strutture sanitarie (pubbliche e private) sembrano ignorarle in tutto o in parte.
In ogni caso, occuparsi di cybersecurity e “privacy” (ma sarebbe più corretto usare il termine “protezione dei dati personali”) all’interno delle strutture sanitarie (piccole e grandi che siano) significa dunque anche occuparsi di salute, quella dei pazienti, la cui tutela non può prescindere dal corretto trattamento dei dati personali e dalla predisposizione di misure di sicurezza adeguate, prima su tutte proprio la formazione dei dipendenti e degli operatori sanitari, nessuno escluso. E in tale ottica, investire su una formazione costante e mirata è oggi imprescindibile.
Questi dati fanno gola, del resto. Oggi è vero che anche le guerre (digitali) si combattono accumulando dati e per questo rimane fondamentale prevenire il problema con misure minime di sicurezza ex lege previste da tempo. E, tra queste misure di
sicurezza informatica, rimane appunto fondamentale la formazione del personale.
ANORC (Associazione Nazionale per Operatori e Responsabili della Custodia dei dati, delle informazioni e dei documenti digitali (
www.anorc.eu) da vent’anni continua a presidiare queste delicatissime materie, informando e formando su digitalizzazione documentale e protezione dei dati, con particolare attenzione alla sanità digitale, attraverso pubblicazioni, convegni e corsi di formazione specifici, rivolti ad aziende, PA e professionisti, per diffondere quella necessaria conoscenza interdisciplinare, indispensabile per approcciare correttamene la materia.
Andrea Lisi
Avvocato, Presidente ANORC Professioni, Coordinatore di Digital & Law Department e Studio Legale Lisi