Privacy: nella sanità attacchi cresciuti del 99%

"Il 2018 è stato definito, dal Clusit, l' anno peggiore relativamente alla sicurezza cibernetica, così come costantemente esposta a minacce da configurare una sorta di cyber-guerriglia permanente". Lo ha detto il Garante per la Privacy, Antonello Soro, nella relazione annuale (clicca qui per scaricare il documento completo). "E se nel settore pubblico in generale gli attacchi sono cresciuti nell' ultimo anno del 41%, in ambito sanitario l' incremento ha toccato l' acme del 99% rispetto all' anno precedente, con effetti tanto più gravi che in altri settore perchè l' alterazione dei dati sanitari può determinare, come abbiamo sottolineato anche rispetto al fascicolo sanitario elettronico - errori diagnostici o terapeutici. La carente sicurezza dei dati e dei sistemi che li ospitano - ha ribadito - può rappresentare, in altri termini, una causa di malasanità".  Un invito rivolto in particolare ai medici che hanno l'obbligo di tutelare la privacy dei pazienti, ricordando anche le pesanti sanzioni in caso di trasgressioni.

Sono state 150 ispezioni effettuate in totale dal Garante della Privacy nel 2018. Il dato è contenuto nella Relazione annuale sull' attività svolta dall' Autorità, presentata oggi al Parlamento. Gli accertamenti, svolti nel 2018 anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche, hanno riguardato numerosi e delicati settori, sia nell' ambito pubblico che privato. Per quanto riguarda il settore privato, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito; da società per attività di rating sul rischio e sulla solvibilità delle imprese; dalle aziende sanitarie locali e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; da società che svolgono attività di telemarketing; da società che offrono servizi di 'money transfer'.

Oggetto di particolare accertamento anche i trattamenti di dati svolti da società assicuratrici attraverso l' installazione di 'scatole nere' a bordo degli autoveicoli e da società che offrono servizi medico-sanitari tramite app. Per quanto riguarda il settore pubblico, l' attività di verifica si è concentrata su enti pubblici, soprattutto Comuni e Regioni, che svolgono trattamenti di dati personali mediante app per smartphone e tablet, (con particolare attenzione all' eventuale profilazione e geolocalizzazione degli utenti); sulle grandi banche dati; sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit; sul sistema informativo dell' Istat e sullo Spid. Per quanto riguarda l' attività di relazione con il pubblico, si è dato riscontro a 22.800 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti legati all' applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; alla videosorveglianza; al rapporto di lavoro; ai dati bancari.

Dal contrasto al cyberbullismo ai controlli sulle fake news, sull' uso dei dati personali sui social, con il caso clamoroso di Cambridge Analytica, e dei droni a scopo ricreativo. Nel mondo de lavoro, attenzione a geolocalizzazione e impronte digitali dei dipendenti. E gli interventi recenti sulla Piattaforma Rousseau e sul reddito di cittadinanza. Sono alcuni degli ambiti in cui si è svolta nel 2018 l' attività dell' Autorità garante per la Privacy, riportata nella Relazione annuale presentata oggi in Parlamento. Il 2018 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale. Sotto il profilo degli utilizzi illeciti dei dati personali sulle piattaforme social, la relazione ricorda il caso Cambridge Analytica, che ha visto l' intervento dell' Autorità, per accertare le responsabilità e mettere in guardia sui rischi per la libertà delle persone da forme distorte di influenza politica. Il Garante ha vietato a Facebook l' ulteriore trattamento dei dati degli utenti italiani, riservandosi di avviare un procedimento sanzionatorio.

E' proseguito il lavoro svolto per assicurare la protezione on line dei minori, in particolare riguardo ai possibili rischi insiti negli smart toys. Per combattere il fenomeno del cyberbullismo il Garante, ricorda la Relazione, ha predisposto, alla luce dei nuovi compiti assegnati dal legislatore, misure e procedure per la rimozione dei contenuti offensivi e ha siglato un protocollo di intesa con la Polizia postale e con alcuni Co.Re.Com. con l' obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime. Il Garante ha fornito indicazioni sull' uso dei droni a scopo ricreativo e su come difendersi dai software dannosi, in particolare dal ransomware, il programma informatico diffuso per bloccare un dispositivo elettronico (pc, tablet, smartphone, smart tv), o criptare i dati in esso contenuti (foto, video, file), e chiedere un riscatto per 'liberarlo'.

Nel mondo del lavoro il Garante, riferisce la Relazione, ha indicato le garanzie per la raccolta delle impronte digitali per i dipendenti pubblici nella lotta all' assenteismo e ha fissato le regole per l' uso delle nuove tecnologie, con particolare riguardo alla geolocalizzazione dei lavoratori. E' intervenuto a vietare i controlli massivi su mail e smartphone dei dipendenti e prassi di valutazione del loro operato lesive della dignità. Sul fronte cybersecurity l' Autorità ha proseguito anche nel 2018 l' attività di vigilanza e intervento procedendo d' ufficio o a seguito di specifiche segnalazioni o comunicazioni relative a violazioni di dati personali (data breach), alcune delle quali particolarmente gravi. La Relazione fa poi riferimento al recente intervento sulla Piattaforma Rousseau, ricordando "una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica". Sul fronte del trattamento dei dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata rafforzata la cooperazione con l' intelligence, con la sigla di un nuovo protocollo d' intenti con il Dis.

Nel 2018 si sono consolidati i criteri per l' esercizio del diritto all' oblio e per la sua tutela al di là dei confini europei. Nel settore della sanità il Garante è intervenuto con un provvedimento generale a chiarire come attuare le novità introdotte dal Regolamento Ue. In materia di trasparenza on line della Pa, ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone. E' intervenuto a bloccare la diffusione on line, su siti di amministrazioni pubbliche, di dati sensibili delle persone. Ha fissato precise regole per l' esercizio del diritto di accesso civico. L' Autorità ha chiesto garanzie riguardo al nuovo censimento permanente, che prevede l' integrazione di banche dati e l' uso massivo dei dati dell' intera popolazione.Una particolare azione è stata intrapresa per aumentare il livello di sicurezza della Pa digitale e per rafforzare le garanzie per i cittadini nell' attuazione dello Spid. Per quanto riguarda il sistema della fiscalità, il Garante ha individuato i presupposti e le condizioni perché l' Agenzia delle entrate potesse avviare il nuovo obbligo della fatturazione elettronica e ha chiesto e ottenuto tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti.

 Anche riguardo al reddito di cittadinanza, l' Autorità ha chiesto e ottenuto una serie di misure atte ad impedire un monitoraggio troppo invasivo sulle scelte di consumo individuali e per conformare il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza alla normativa europea. Ha inoltre prescritto misure tecniche riguardo all' accesso alla dichiarazione dei redditi precompilata da parte di contribuenti, Caf e soggetti autorizzati. Particolare impegno è stato rivolto anche nel 2018 alla messa in sicurezza delle grandi banche dati pubbliche, prima fra tutte quella dell' Anagrafe tributaria. Nel settore della giustizia, l' Autorità ha proposto misure per assicurare maggiori garanzie nell' uso dei captatori informatici a fini investigativi. Sul fronte della tutela dei consumatori il Garante ha dettato regole per il trattamento dei dati effettuato attraverso i totem pubblicitari nelle stazioni ferroviarie ed ha proseguito l' impegno contro il telemarketing aggressivo con l' applicazione di pesanti sanzioni agli operatori che utilizzano i dati degli abbonati senza il loro consenso.

Il Garante ha accertato rilevanti illeciti da parte di società di telefonia, ha svolto ispezioni presso diversi call center e ha suggerito al legislatore modifiche normative per rafforzare le garanzie dei cittadini. Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per assicurare le opportune tutele innanzitutto nei confronti delle vittime di violenza sessuale e dei minori coinvolti in fatti di cronaca. Il 2018 ha visto il Garante costantemente impegnato nell' azione di supporto a imprese e pubbliche amministrazioni e in una intensa attività di formazione in vista della definitiva applicazione del Regolamento Ue in materia di protezione dei dati.