Nuovi scenari per le sottoscrizioni informatiche dei cittadini
2 Febbraio 2017
La Botnet Fantasma che inneggia a Star Wars su Twitter
7 Febbraio 2017

Rilevanza e costi del Data Protection Officer nella realtà sanitaria

Le organizzazioni sanitarie sono aziende molto complesse dove migliaia di professionisti sanitari, personale amministrativo, tecnici, collaboratori interni ed esterni di varia estrazione e cultura, trattano ogni giorno i dati personali degli assisiti.

La gestione delle informazioni avviene con modalità differenti e dal punto di vista organizzativo non è più confinabile fisicamente all’interno di un perimetro prestabilito.

Grazie all’evoluzione tecnologica, è possibile integrare in un unico dominio applicativo molti servizi software distribuiti in contesti verticali dove la gestione delle informazioni avviene in modalità proprietaria.

Nell’ambito della sanità digitale, l’implementazione del Fascicolo Sanitario Elettronico estende ulteriormente le dimensioni del sistema, favorendo l’interoperabilità tra Titolari diversi e coinvolgendo il cittadino in maniera attiva con i sistemi PHR – Personal Health Recording. L’utilizzo di apparati elettromedicali connessi alla rete e l’uso di servizi mobile health da parte dell’utenza incrementa considerevolmente il volume delle informazioni da trattare. Per soddisfare le esigenze di continuità operativa e migliorare l’efficienza e la sicurezza dei processi, in alcune aziende sanitarie sono già in corso dei percorsi di esternalizzazione dei servizi informatici per migrare verso tecnologie più sicure.

Questo scenario, se da un lato comporta un’importante innovazione, dall’altro impone alle aziende di gestire i rischi inerenti alla continuità operativa ed al controllo del dato. Le tecnologie digitali, infatti, sono essenziali al perseguimento degli obiettivi aziendali e senza di esse in alcune aree di business non è più possibile gestire i pazienti. L’elaborazione delle informazioni, inoltre, avviene spesso tramite terze parti esterne che, seppur accreditate, a loro volta sub-appaltano a terze parti l’elaborazione dei dati. In questo scenario non tutte le organizzazioni sono preparate a governare le complesse modalità tecnologiche offerte dal mercato ed affrontare le contestuali problematiche di sicurezza. Come ricordato dal Prof. Francesco Pizzetti, Docente di Diritto Costituzionale presso l’Università di Torino e già Presidente dell’Autorità Garante per la protezione dei dati personali, con le nuove tecnologie non basta più un archivio od una cassaforte dove mettere le informazioni, come si faceva un tempo con la carta: oggi le aziende sanitarie, sia pubbliche che private, si devono dotare di una struttura più complessa ed organizzata. E’ necessario assicurare la protezione dei dati in maniera predefinita, impostando l’erogazione dei processi secondo un livello di rischio prestabilito e conforme alle normative.

L’organizzazione sanitaria pubblica è un’infrastruttura critica dove esistono problematiche molto serie dovute ad un’elevata probabilità di disservizio dei sistemi e di violazione dei dati personali. Visto il peggiorare di questa situazione generale, dovuta ad un preoccupante aumento degli attacchi cibernetici a carico della Pubblica Amministrazione, il Presidente del Consiglio dei Ministri, già il 1 agosto 2015, ha emanato una Direttiva in considerazione dell’esigenza di consolidare un sistema di reazione efficiente, che raccordi le capacità di risposta delle singole Amministrazioni, con l’obiettivo di assicurare la resilienza dell’infrastruttura informatica nazionale, a fronte di eventi quali incidenti o azioni ostili che possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli stessi. E’ quindi di primaria importanza garantire che i processi ed i trattamenti sanitari siano conformi alle norme di protezione dei dati personali e che i dati non siano conosciuti da chi non ne possiede titolo e che non siano rubati, alterati, distrutti o raccolti senza ragione.

Forse non tutti sanno che la criminalità informatica, tramite il black market online, offre informazioni sanitarie ad un costo medio di 30€ a dossier. Il prezzo di vendita aumenta in base all’estrazione sociale dell’interessato e considerando la categoria dei dati presenti, più le eventuali possibilità di business illecito per l’acquirente. I rischi ed i costi del “bucare” il sistema informativo di un’azienda sanitaria pubblica sono molto più bassi rispetto a quelli relativi ad entrare abusivamente in un istituto di credito. Inoltre, a differenza del dato finanziario, la cui vita è molto breve – nel caso di una carta di credito clonata può essere al massimo di qualche giorno – sottrarre il dato sanitario è un ottimo investimento perché il tempo di vita delle informazioni è legato all’esistenza della persona, quindi risulta molto più lungo.

Considerato che un’organizzazione sanitaria gestisce dati di pazienti territoriali ed utenze “di passaggio”, nei database possono essere presenti informazioni di centinaia di migliaia di pazienti. Il valore del patrimonio informativo sanitario di 500.000 pazienti, per esempio, nel mercato nero online è stimato in 15M€. Tenendo conto che l’accadimento del furto di informazioni da parte di insiders è molto frequente nel mondo business, anche all’interno della realtà sanitaria ci si aspetta che la frequenza relativa a dipendenti e collaboratori malintenzionati interessati a questo tipo di attività possa essere alta. Non verrebbero compiute solo delle frodi ai danni dell’amministrazione: si andrebbe a compromettere seriamente la libertà di molti cittadini.

L’Unione Europea inquadra la protezione dei dati come una necessità prioritaria, ed obbliga tutte le organizzazioni a fornire il loro contributo per contrastare questo fenomeno in maniera adeguata. Il General Data Protection Regulation – GDPR ricalca quest’ottica di prevenzione, definendo gli strumenti e le strategie per organizzare in maniera predefinita la protezione delle informazioni, sin dalla progettazione dei processi. Il Data Protection Officer – DPO è la figura principale che deve permettere il governo della protezione dei dati personali in aderenza alla normativa.

Secondo le best practices, in fase preliminare, il Titolare del Trattamento prende atto delle motivazioni e della fattibilità di adottare il DPO svolgendo un’analisi documentata in recepimento della normativa (GDPR Sez. 4, Art. 37-39) e delle linee guida Data Protection Working Party Article 29 – WP29 del 13/12/2016. Tale assessment dovrebbe evidenziare gli aspetti aziendali legati a tale ruolo, al fine di motivare la scelta dal punto di vista della mission e valutando eventuali responsabilità, conflitti di interesse, costi e benefici. Il DPO non può, infatti, ricoprire un incarico di responsabilità diretta verso attività che concorrono nella definizione e nella gestione delle politiche di sicurezza e protezione del dato (GDPR, Art. 36). Secondo il principio di accountability, la responsabilità della protezione dei dati personali rimane comunque in capo al Titolare (GDPR, Art.24) ed al Responsabile del Trattamento (GDPR, Art. 82).

In caso di violazione sui dati personali, il DPO può essere responsabile civilmente e contrattualmente nei confronti del Titolare e del Responsabile di Trattamento, in quanto l’assistenza da lui fornita tramite consigli, soluzioni, pareri, atti e pratiche, attraverso il proprio know how e le proprie competenze, trova impatto diretto sulla sicurezza dei processi e sulla compliance aziendale.

Dal punto di vista organizzativo, il DPO deve essere una figura di alto livello che può essere inquadrata nello staff del Titolare come dipendente dell’organizzazione; può anche essere rappresentata da una figura esterna regolarizzata tramite uno specifico contratto (WP29 Guidelines on Data Protection Officers, Art. 2.4). Questa professionalità di assoluto rilievo viene chiamata in causa per svolgere molteplici funzioni (GDPR, Art. 39):

  • informare ed avvisare gli attori che svolgono il trattamento (Titolare, Responsabile di Trattamento ed incaricati) dei loro obblighi nella protezione dei dati personali degli interessati;
  • monitorare la compliance normativa, in particolare con il GDPR e con ulteriori norme specifiche della realtà sanitaria;
  • attivare il Titolare ed il Responsabile di Trattamento per provvedere al Data Protection Impact Assessment e monitorare le performance (GDPR, Art. 35);
  • cooperare con l’Autorità Garante: il DPO è l’interfaccia ufficiale verso l’Autorità Garante per richiedere pareri, segnalare eventuali violazioni sui dati personali e gestire eventuali ispezioni.

In un’organizzazione sanitaria, il costo di un Data Protection Officer interno può partire da 80.000 euro/anno più eventuali risorse necessarie alla sua sostenibilità. La normativa impone al Titolare, e di conseguenza al DPO, di commisurare le misure di sicurezza da adottare tenendo conto dello stato dell’arte e dei costi di attuazione (GDPR, Art. 32 comma 1). Per questo motivo, tale figura deve sfruttare le risorse aziendali esistenti per svolgere i suoi compiti in maniera coerente con il Regolamento.

La figura del DPO è essenziale per vigilare su tutti i trattamenti e risolvere le vulnerabilità prevenendo l’accadimento di violazioni sui dati personali. Designarlo è obbligatorio per le organizzazioni sanitarie: l’eventuale mancata nomina comporta per il Titolare sanzioni fino a 10.000.000 Euro da parte dell’Autorità Garante (GDPR, Art. 83 comma 4). L’adozione del DPO abbatte notevolmente il rischio dovuto alla non-compliance ed evita sanzioni fino a 20.000.000 Euro da parte dell’Autorità Garante (GDPR, Art. 3 comma 5), oltre agli eventuali risarcimenti per danni agli interessati. Come già ricordato precedentemente, un data breach in sanità potrebbe riguardare centinaia di migliaia di assistiti e comportare onerosi risarcimenti. Molti esperti, mossi soprattutto da una logica di buon senso, sostengono giustamente che non è possibile acquisire gli skill di un DPO in un corso di formazione di tre o quattro giorni. Data la posizione strategica della carica rivestita, il DPO deve essere una persona autorevole in grado di ispirare fiducia, sia all’interno dell’azienda che esternamente. Non quindi una figura “politica” di rappresentanza verso l’Autorità Garante ed i cittadini, ma un protagonista attivo che contribuisce alla crescita dell’organizzazione, in costante aggiornamento per attuare gli adempimenti delle normative sulla protezione dei dati con le nuove tecnologie ed esperto nell’utilizzo degli strumenti di analisi e gestione dei rischi, in grado di relazionarsi con i Responsabili aziendali, i referenti legali, i manager tecnologici, ma anche gli incaricati e gli interessati. Un profondo conoscitore della materia in grado di formare, informare ed allertare l’azienda su eventuali problematiche di non conformità dei processi. E’ inoltre requisito fondamentale che il DPO conosca la lingua inglese per comprendere gli standard, le anticipazioni relative al contesto normativo,  relazionarsi con il mondo tecnologico e contribuire alla condivisione delle esperienze con altri professionisti del settore.

Nelle aziende sanitarie di una certa dimensione, soprattutto dove esiste maggiore esperienza e cultura nell’ambito della protezione dei dati, la scelta del DPO deve ricadere su figure interne che possiedano già le competenze, con una preparazione specifica in ambito normativo e tecnologico maturata negli anni di esperienza ed accreditata con certificazioni specifiche.

Esiste comunque la possibilità per le aziende sanitarie di designare un DPO esterno, anche condiviso con altre realtà. Quest’impostazione, però, rischia di contraddire lo spirito della norma facendo considerare la protezione dei dati come un adempimento burocratico. Le aziende sanitarie devono considerare la scelta del DPO come un valore fondamentale su cui costruire la sensibilità e la cultura aziendale. Questo per avere soprattutto un ritorno in termini di raggiungimento degli obiettivi, ma anche per garantire una maggiore protezione della salute e della libertà dei loro principali stakeholders: i cittadini.

SUGGERIMENTI BIBLIOGRAFICI

Nicola Bernardi – Presidente Federprivacy, “Privacy, data protection officer incompatibile con il manager IT”
http://www.corrierecomunicazioni.it/digital/45003_privacy-data-protection-officer-incompatibile-con-il-manager-it.htm

Garante Privacy – CLOUD COMPUTING – PROTEGGERE I DATI PER NON CADERE DALLE NUVOLE – La guida del Garante della Privacy per imprese e pubblica amministrazione
http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1894503

Nicola Bernardi – Presidente Federprivacy, “Non si diventa data protection officer con un corso di tre o quattro giorni”
http://www.federprivacy.it/informazione/il-punto-di-vista/1155-non-si-diventa-data-protection-officer-con-un-corso-di-tre-o-quattro-giorni.html

AgID – Agenzia per l’Italia Digitale, “Misure minime di sicurezza informatica per le PA”
http://www.agid.gov.it/notizie/2016/09/26/misure-minime-sicurezza-informatica-pubbliche-amministrazioni

Accenture HFS Research – The State of Cybersecurity and Digital Trust 2016
Identifying Cybersecurity Gaps to Rethink State of the Art
https://www.accenture.com/it-it/company-news-release-data-theft-interior-serious-threats

Infosec Institute – Hackers Selling Healthcare Data in the Black Market
http://resources.infosecinstitute.com/hackers-selling-healthcare-data-in-the-black-market/#gref

 

A cura di: Dott. Giampaolo Franco, Azienda Provinciale per i Servizi Sanitari di Trento e Dott. Giovanni Maria Guarrera, Azienda Provinciale per i Servizi Sanitari di Trento

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy