I rischi del furto di dati? Errori e discriminazioni anche nelle cure

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Ruggiero Corcella, “Corriere della Sera”, 6 marzo 2017)
Qual è la situazione in Italia in materia di protezione dei dati sanitari? Lo abbiamo chiesto al Garante della privacy, Antonello Soro.

“Esistono molti segnali preoccupanti sulle violazioni (e disapplicazioni), colpose o dolose della normativa che protegge i dati sanitari. Nella digitalizzazione della sanità, la frammentazione, la disomogeneità e l’assenza di un piano organico di sicurezza che hanno caratterizzato l’informatizzazione della pubblica amministrazione sono ancora più pericolose che in ogni altro settore. Molte violazioni sono poi frutto di una colpevole violazione delle norme sulla privacy. Siamo già intervenuti più volte in questo settore, in modo deciso”.

Che tipo di violazioni avete accertato?

“In alcune regioni il software del dossier sanitario elettronico metteva a disposizione di tutti i medici della Asl (e non solo a quello curante) i dati di tutti i pazienti. Un’altra regione è stata sanzionata per aver pubblicato, sul sito istituzionale, informazioni sensibili su 5mila disabili che avevano usufruito di sussidi per l’acquisto di computer. Iniziativa che ha dato in pasto al mercato nero della sanità digitale una piccola fortuna. Una struttura privata dopo aver fornito prestazioni gratuite nell’ambito di una campagna di prevenzione obbligatoria, le ha poi girate alle case farmaceutiche senza aver chiesto il consenso ai propri pazienti. Per altro verso, abbiamo bloccato la pubblicazione, sui siti di 26 Comuni, dei dati di cittadini per cui si prevedeva il trattamento sanitario obbligatorio, dove venivano messi accanto a nome e cognome anche valutazioni come “persona affetta da pulsioni suicide””.

Le conseguenze dei furti?

“I dati sanitari, se illecitamente trattati o addirittura “rubati”, sono suscettibili di esporre l’interessato a forme di discriminazione pericolose, rese possibili dalla conoscenza degli aspetti più intimi della persona, come quelli “idonei a rivelare lo stato di salute dell’interessato”. La sottrazione o peggio l’alterazione di un dato sanitario, inoltre, rende vulnerabili banche dati essenziali per il governo del nostro Paese, si pensi ai sistemi informativi sanitari delle Asl, delle regioni o del Ministero della Salute che sono indispensabili per la gestione della sanità pubblica. Ma soprattutto, la vulnerabilità del dato sanitario e, quindi, la suscettibilità di alterazione o modificazione di queste informazioni, rischia di determinare errori diagnostici o terapeutici, con conseguenze anche letali per l’interessato e gravi responsabilità per gli stessi operatori sanitari”.

Nessuno sa con precisione quanti casi di “data breach” si verifichino in Italia: esiste un obbligo di denuncia?

“Nel settore pubblico e in quello sanitario, le amministrazioni e le strutture sanitarie sono tenute a comunicare al Garante entro 48 ore dalla conoscenza del fatto tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sugli interessati. Il mancato o ritardato adempimento nella comunicazione di violazioni di dati personali (data breach) può comportare sanzioni amministrative. Su questo punto l’Italia, grazie ai provvedimenti del Garante, ha anticipato la nuova normativa europea che si muove nello stesso senso per supportare meglio ad affrontare i cambiamenti dell’era digitale. Il nuovo Regolamento europeo, oltre a rafforzare i diritti dei cittadini, offrirà infatti strumenti più concreti ed efficaci per il controllo dei dati personali. Uno di questi è appunto l’introduzione dell’obbligo generale di comunicare eventuali data breach all’Autorità nazionale di protezione dei dati e, nei casi più gravi, a tutte le persone coinvolte, indicando anche le misure adottate per limitare le possibili conseguenze negative”.

PRIVACY POLICY