Cybersecurity e malasanità

In seguito all’entrata in vigore, nel maggio 2018, del General Data Protection Regulation – il cosiddetto GDPR –, regolamento dell’Unione europea in materia di trattamento dei dati personali e privacy, molte cose sono cambiate nella gestione e nella fruizione dei dati che cediamo a terzi online (ad esempio quando ci registriamo a un sito) e offline (ad esempio quando sottoscriviamo un abbonamento, firmiamo un contratto o un consenso informato). Chiunque raccolga dati, in qualsiasi ambito operi, ha dovuto adeguarsi. Avrete sicuramente notato che da qualche tempo ogni sito su cui navighiamo ci chiede, al primo accesso, se acconsentiamo al trattamento dei dati personali. La compravendita dei dati, infatti, è diventato un tema caldo negli ultimi anni con la diffusione capillare di internet, e ha dato il via a una serie di riflessioni legislative e di modifiche, culminate nel nuovo regolamento europeo, che coprono ogni ambito in cui i nostri dati – che siano il semplice nome e cognome, l’email, il numero della nostra carta di credito, la cartella clinica ecc – vengono comunicati ad altri, in modo che essi siano protetti dalla loro diffusione, vendita, monetizzazione, cessione a terzi; ma è necessario dare il proprio consenso anche se i dati vengono rielaborati in maniera assolutamente anonima a fini statistici, ad esempio per analizzare il tipo di pubblico che naviga sul nostro sito internet.

Come ha sottolineato Francesco Pizzetti, docente di Diritto Costituzionale ed ex presidente del Garante per la privacy, nell’ambito della presentazione del report delle attività del 2018 del Garante della privacy: “La protezione dei dati è l’architrave di un sistema regolatorio molto più ampio che coinvolge antitrust e tutela dei cittadini sotto il profilo del rapporto con AI, con un mondo in cui è necessario disvelarsi per ottenere servizi,  ma in cui è necessario garantire che i dati siano usati solo per quel dato servizio”. È quindi ormai chiaro che le problematiche legate alla privacy riguardano davvero tutti, in primis chi ha visto il proprio lavoro in qualche modo digitalizzato, come gli operatori sanitari, dato che i database informatici sono estremamente più vulnerabili di quelli analogici.

Antonello Soro, presidente uscente del Garante della privacy, ha infatti posto durante la presentazione della Relazione al Parlamento un’attenzione particolare all’ambito della sanità, specificando che durante lo scorso anno i cyber-attacchi sono aumentati del 99%.

“Il 2018 è stato definito, dal Clusit, l’anno peggiore relativamente alla sicurezza cibernetica, così costantemente esposta a minacce da configurare una sorta di cyber-guerriglia permanente” ha infatti dichiarato Soro. “E se nel settore pubblico in generale gli attacchi sono cresciuti nell’ultimo anno del 41%, in ambito sanitario l’incremento ha toccato l’acme del 99% rispetto all’anno precedente, con effetti tanto più gravi che in altri settori perché l’alterazione dei dati sanitari può determinare – come abbiamo sottolineato anche rispetto al fascicolo sanitario elettronico – errori diagnostici o terapeutici.”

In poche parole, gli attacchi informatici ai database che raccolgono informazioni sui pazienti possono essere una causa determinante di malasanità. Soro ha portato in particolare l’esempio degli embrioni scambiati, ma ha parlato anche di errori nei processi diagnostici laddove fosse compromessa la correttezza del processo analitico dei cosiddetti big data, utilizzati da anni nei processi diagnostici, di cui però deve essere garantito il funzionamento tramite appositi algoritmi.

Già all’inizio di marzo l’Associazione Italiana Ospedalità Privata, tramite il responsabile del settore Information Technologies Andrea Albanese, aveva lanciato l’allarme, specificando che “i dati a disposizione tengono conto solo di quelli che sono noti o particolarmente gravi”. E il 2018 ha visto molti di questi episodi che hanno messo a rischio la sicurezza informatica degli utenti di tutto il mondo. Uno su tutti il cosiddetto scandalo Cambridge Analytica, che ha coinvolto il noto social network Facebook e che ha contribuito a portare all’attenzione del grande pubblico il problema della sicurezza dei dati ceduti in rete.

Una delle soluzioni più efficaci ai problemi di sicurezza potrebbe venire, secondo Albanese, dalle blockchain, che “offrono un’ampia possibilità sia in termini di sicurezza che di integrità dei dati”. Potrebbero eliminare, ad esempio, i rischi connessi allo scambio di informazioni tra ospedali, trasmettendo soltanto i dati necessari e tenendo riservati  tutti gli altri, e potrebbero essere utili perfino per i controlli di sicurezza sui dispositivi medici.

Nel frattempo, per formare i dirigenti medici in merito a queste problematiche, l’Aiop ha attivato un corso rivolto ai responsabili  del trattamento dei dati personali e dei servizi informatici delle strutture sanitarie in risposta alla Direttiva NIS (Network and Information Security) un provvedimento normativo europeo finalizzato ad aumentare e uniformare il livello di attenzione e le strategie di difesa tra i Paesi membri.

“Le misure previste dalla NIS” ha spiegato Albanese “sono rivolte sia ad operatori pubblici che privati, e in particolare impongono misure di sicurezza più stringenti ai soggetti individuati quali gli OSE, Operatori di Servizi Essenziali, che operano in ambiti strategici come energia, infrastrutture, trasporti e appunto sanità. L’effetto principale finora è stato senz’altro quello di innescare un cambiamento culturale che, al di là di qualsiasi misura tecnica, è fondamentale per neutralizzare il principale fattore di rischio: il fattore umano.”