La dematerializzazione crea valore in tutti i settori, a maggior ragione nell’area sanitaria, le cui specificità però creano non pochi problemi, da risolvere definitivamente entro 24 mesi. E’ questa l’estrema sintesi dell’incontro Regolamento europeo protezione dei dati personali e sicurezza dei dati, promosso a Roma dal Cdti e da Aica con particolare enfasi sulla situazione in sanità.
Nonostante l’estrema attenzione ai problemi di safety del paziente, infatti, il mondo sanitario è culturalmente inadatto alla security, ovvero alle violazioni sia all’interno degli edifici, sia di tipo informatico.
In parte quest’habitus dovrà modificarsi per effetto dell’entrata in vigore del citato Regolamento europeo, che si ritiene verrà reso pubblico entro giugno e che regolamenta molte situazioni. Il testo che circola va quindi inteso ancora come provvisorio, ma intanto gli esperti ne parlano, visto che sarà obbligatorio entro 24 mesi.
Della parte strettamente legale ha parlato Guglielmo Troiano, legale del Clusit. Molte le novità che vanno ad abrogare la direttiva 95/46/CE. Alle due figure di Titolare del trattamento dati (data processor, nel frasario del Regolamento) e Responsabile (data controller) si aggiunge il Dpo, Data Protection Officer, un consulente esterno all’azienda, il cui rapporto è regolato da un contratto civilistico, che ha budget e funzione d’indirizzo e controllo, oltre alla responsabilità di segnalare i data breach all’autorità competente.
Per meglio spingere all’adozione e al rispetto delle nuove norme, sono state introdotte delle sanzioni pecuniarie.
I regolamenti europei entrano in vigore subito, senza una legge dello Stato, ma in questo caso, vista la complessità della situazione, ci sarà tempo fino alla fine del 2017. In realtà siamo davanti più ad una legge quadro, da definire nel tempo in sede nazionale, che ad un regolamento direttamente operativo. Via via, ciascun Garante emanerà provvedimenti che armonizzino la situazione attuale, portandola ad un opportuno livello europeo.
L’Ict aziendale della sanità
Gestione documentale e conservazione a norma sono cose nuove per l’ambiente ospedaliero e sanitario, abituato a conservare il cartaceo presso storage di difficile accessibilità per i tempi previsti dalla legge, a differenza di quanto avviene in altre aree. Analogamente espressioni come business continuity e disaster recovery, finora incomprensibili ai dottori, dovranno essere assimilate ed implementate, ha spiegato Sergio Ferri di Federprivacy. La completa razionalizzazione dell’Fse, fascicolo sanitario europeo, è prevista per la fine del 2017.
Fino al termine del periodo transitorio non ci saranno sanzioni, ma i normatori si attendono un ammodernamento progressivo. Il periodo di adeguamento, quindi, finisce e non comincia 24 mesi dopo l’emissione. C’è da sperare che gli italiani sappiano cambiare pelle e non fare come succede sempre, ad esempio come fu per le misure minime e le misure idonee: anziché cercare subito le idonee si discussero addirittura le minime. A proposito, il “Regolamento” in via di ufficializzazione le annulla, richiedendo direttamente le idonee tra le quali la pseudonomizzazione e la cifratura dei dati personali.
Attacco al pace maker
L’atteggiamento verso la security del sanitario deve cambiare. “Il ransomware ospedaliero, virtualmente sconosciuto due anni fa, ha avuto un’impennata negli ultimi sei mesi”, ammonisce Corrado Giustozzi, membro del Psg Group all’interno di Enisa, l’Agenzia europea per la sicurezza delle Reti. “Svariati ospedali statunitensi e mondiali hanno pagato per rientrare in possesso dei dati sui loro pazienti, e chi non ha fatto in tempo ha dovuto trasferire centinaia di pazienti ad altri ospedali, perché ripartissero da zero”.
La sanità è troppo importante per non apprendere le lezioni imparate sulla nostra pelle dagli attacchi ai sistemi del passato, Etacs ma principalmente Scada, il controllo industriale facilissimo da attaccare nonostante la sua importanza strategica.
Ma tra i possibili attacchi ci sono anche quelli terroristici, perché l’internet delle cose applicate al corpo umano è drammaticamente a rischio. “Pompe insuliniche e pace maker sono facilmente attaccabili per via informatica”, prosegue Corrado, “e in luoghi affollati sarebbe semplice fare una strage anche senza farsi esplodere”.
Insomma, in attesa di dare il via alle danze, con la pubblicazione del testo definitivo in Gazzetta Ufficiale, c’è da rimboccarsi le maniche.