Le aziende sanitarie pubbliche italiane seguono l’articolo 32 del GDPR?

Banche date sterminate che non contengono solo dati personali standard (nome, cognome, età, etc…), ma anche quelli che il Regolamento Generale sulla Protezione dei Dati etichetta come “categorie particolari di dati personali“. Dunque, la gestione e il trattamento di tutto ciò da parte del Servizio Sanitario Pubblico (in tutte le sue sfaccettature) dovrebbe essere oculata, cercando di limitare al massimo gli attacchi informatici e i data breach che ne possono derivare. Negli ultimi mesi, però, abbiamo assistito a un’escalation di questi fenomeni. In particolare, come nel più recente caso che ha visto coinvolta l’ASL1 dell’Abruzzo, si parla di ransomware, con centinaia di gigabyte di dati che sono stati diffusi e pubblicati. Viste queste evidenze, sorge spontanea la domanda: la Sanità italiana rispetta i paletti imposti dall’articolo 32 del GDPR?

LEGGI ANCHE > Perché gli attacchi informatici prendono di mira le aziende sanitarie pubbliche?

Prima di introdurre l‘articolo 32 GDPR, occorre citare un altro articolo presente all’interno del Regolamento Generale sulla Protezione dei Dati. Facciamo riferimento al punto 1 dell’articolo 9, quello in cui si da una definizione di “categorie particolari di dati personali”, che possono essere trattati esclusivamente per motivi legati alla salute della persona.

«È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona». 

Come detto, questa categoria particolare di dati non possono essere trattati se non da (come spiega il punto 3, lettera H, dello stesso articolo) per motivi sanitari e per la salute del cittadino. Dunque, all’interno dei database delle aziende sanitarie pubbliche (che siano ASL o ospedali), c’è una vera e propria miniera d’ora per chi intende violare i sistemi informatici e prenderne possesso.

Articolo 32 GDPR e le aziende sanitarie pubbliche italiane

Questa premessa è doverosa e rende ancor più importante il contenuto dell’articolo 32 GDPR, quello che fa riferimento alla “Sicurezza del trattamento”, ovvero quelle best practice che chi detiene il diritto al trattamento dei dati personali (degli iscritti, in caso di una piattaforma, o dei cittadini, parlando di servizio sanitario pubblico) dovrebbe adottare per evitare di subire attacchi informatici in grado non solo di bloccare i sistemi, ma anche l’esfiltrazione dei dati. In particolare, si spiega che

«il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio». 

Si tratta di un’indicazione basilari: agire affinché si possano mantenere quei dati al sicuro. Insomma, barriere all’ingresso e pronte risposte per evitare attacchi informatici. E lo stesso articolo indica quattro comportamenti da seguire:

1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Quattro punti cardinali per proteggere i dati personali che diventano ancor più inderogabili se si tratta di “categorie particolari di dati personali”, ovvero quelli presenti all’interno dei database del servizio sanitario nazionale e in tutte le sue piattaforme. Leggendo tutto ciò, riecheggia nella mente la recente dichiarazione della vice direttrice generale dell’ACN Nunzia Ciardi che ha sottolineato come quello della protezione dei dati sanitari sia «un settore che sconta una mancanza di investimenti. Non c’è cultura per capire quanto sia importante investire per proteggere le nostre informazioni sensibili».