Privacy: aumentano i ricorsi per la violazione. Medici nel mirino

Nel 2016 il primo caso, da scuola: 30 medici laziali, i cui sistemi informatici furono violati sottovalutando le misure di sicurezza, sono stati sanzionati per violazione della privacy. Due le accuse, una penale e l'altra civile. La penale che poteva portare a un arresto fino a due anni e alla sospensione dell'attività medica, è stata convertita in una multa da 30.000 euro da pagare entro 30 giorni, mentre la sanzione amministrativa venne fissata tra i 10.000 e i 120.000 euro per ciascun medico. Un provvedimento severo, ma che la dice lunga sull'importanza della privacy negli studi medici. La legge approvata il 24 maggio del 2016 ha di fatto introdotto nuove regole da adottare negli studi medici e sui computer utilizzati per l'attività.

A distanza di tre anni da quell'episodio c'è un primo bilancio: "I numeri non lasciano spazio a dubbi: il Gdpr, ossia il Regolamento generale sulla protezione, voluto dalla Commissione europea funziona bene. A testimoniarlo sono i quasi 100mila ricorsi che in 7 mesi i cittadini europei hanno presentato per segnalare le violazioni della propria privacy". A dirlo Adiconsum ricordando che le segnalazioni hanno dato il via a tre multe, tra cui quella da 50 milioni di euro irrogata nei confronti di Google (in Francia). "Il consumatore - continua Adiconsum - deve sapere che Gdpr ha introdotto delle importanti novità in fatto di tutela. La più importante è l' introduzione di una nuova figura: il responsabile della protezione dei dati, il cosiddetto Dpo". Sono due i nuovi diritti acquisiti con il Gdpr: il diritto all' oblio e il diritto alla portabilità. Il titolare del trattamento dei dati ha, inoltre, l' obbligo di informare della richiesta di cancellazione anche tutti gli altri titolari che stanno trattando quei dati personali.

La sicurezza dei dati personali

E' il punto dolente di ogni Studio medico e odontoiatrico, ovvero come garantire la sicurezza dei dati personali dei pazienti? Il GDPR su questo è  irremovibile. Innanzitutto, bisogna dimenticare la coppia misure minime/misure idonee di cui al vecchio Codice. Con il GPDR le uniche misure di sicurezza ammesse sono quelle "adeguate".

L'articolo 32 GDPR dispone che per approntare delle adeguate misure di sicurezza bisogna tener conto dello stato dell'arte (avanzamento tecnologico), dei costi di attuazione (delle misure di sicurezza), della natura, dell'oggetto, del contesto e delle finalità del trattamento dei dati, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (porre in essere, quindi, un'analisi del rischio sui dati personali trattati). Il tutto per garantire un livello di sicurezza adeguato al rischio. Tra le soluzioni che l'art. 32 elenca – in maniera non esaustiva – vi sono:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ovvero, anche la capacità del sistema di resistere e reagire);
• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico (es. backup / disaster recovery
• una procedura per testare, verificare e valutare regolarmente l・fefficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

• Inoltre nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Inoltre, punto importante, lo Studio Titolare del trattamento fa sì che chiunque agisca sotto la Sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso.

  È sempre utile rammentare quelle che sono le misure imprescindibili per uno Studio medico e odontoiatrico che, in un certo senso, precedono quanto previsto dall'art. 32 GDPR:

• Controllo degli accessi alle postazioni PC, nonché ad altri terminali, mediante username e password per ogni singolo operatore;
• Username e password devono essere perfettamente memorizzati, non vanno scritti su carta e collocati a vista presso la postazione PC, sono personali e non cedibili a nessuno;
• Ogni volta che si abbandona la postazione PC, anche per pochi secondi, va effettuata la disconnessione dal terminale (ad esempio, Logo Windows + L);
• La password va cambiata periodicamente e non oltre 90 giorni;
• Su ogni PC e terminale vanno installati Antivirus e Firewall con licenze d・fuso originali (preferibilmente, non affidarsi a software gratuiti);
• Antivirus e Firewall devono essere aggiornati quotidianamente;
• Dotarsi di soluzioni di critografia/pseudonimizzazione per gli archivi elettronici;
• Porre in essere backup periodici.
• Replicare le stesse misure di sicurezza sui terminali mobili (smartphone, tablet ecc.).

Sembra, dunque, evidente l'importanza di dotarsi di adeguate misure relative alla sicurezza della privacy negli studi medici. Molti sottovalutano il problema col rischio di andare incontro a severe sanzioni in caso di violazione dei dati relativi ai pazienti.

Finora, però, solo il 23% degli studi e delle imprese italiane si è adeguata al Gdpr, il 59% ha progetti in corso, l'88% ha un budget dedicato. E cresce il mercato della sicurezza informatica raggiungendo il valore di 1,9 miliardi di euro (+9% su anno). A scattare la fotografia e una ricerca dell'Information Security & Privacy della School of Management del Politecnico di Milano. Secondo l'analisi, le principali finalità dei cyber attacchi subiti dalle imprese sono truffe come il phishing (83%) e le estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell'opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%).

I principali obiettivi degli attacchi sono oggi gli account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, dice la ricerca, le imprese prevedono che gli hacker si concentreranno su dispositivi mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), la casa smart (49%) e i veicoli connessi (48%). La principale vulnerabilità è costituita dal comportamento umano: per l'82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l'80% delle imprese ha avviato piani di formazione del personale. L'analisi delinea infine un boom della figura del Data Protection Officer, presente nel 71% delle imprese, mentre il 59% ha inserito un Chief Information Security Officer.