In questo ultimo anno è maturata la consapevolezza dei vertici delle imprese nel considerare il rischio cyber tra quelli che possono impattare fortemente sul rischio aziendale. Qualsiasi tipologia di impresa deve infatti riconoscere la sicurezza come massima priorità nell’Open Economy. L’entrata in vigore della General Data Protection Regulation (Gdpr) impone alle imprese di ragionare al potenziale impatto delle future violazioni dei dati e a come mitigare la relativa minaccia.

Il 3 luglio scorso la Information Commisioner’s Office nel corso di un’indagine sull’operato della Royal Free NHS Foundation Trust di Londra (in partnership con DeepMind) ha rilevato forti lacune sul corretto trattamento dei dati di 1,6 milioni di pazienti inseriti in un gruppo test che ha fruito del sistema di allerta, diagnosi e rilevazione per lesioni renali acute dal 2015.

Come sottolinea Antonio Bosio, Product & Solutions Director, Samsung Electronics Italia- Cantiere Sicurezza digitale, «le imprese sono già sopraffatte dalle minacce provenienti da aggressori esterni ed è dimostrato che la maggior parte dei sistemi di sicurezza presenti nei luoghi di lavoro non sono pronti per contrastarle. Nel 2016 la criminalità informatica è costata all’economia globale 335 miliardi di sterline e si prevede che entro il 2019 il costo totale delle violazioni dei dati aziendali raggiungerà i 2.100 miliardi di sterline. I rischi derivanti da un atteggiamento disinvolto rispetto alla sicurezza informatica sono oggi evidenti: quasi il 70% dei millennials ammettono apertamente di violare le politiche informatiche e di utilizzare app che non sono autorizzate dai loro datori di lavoro».

Violazione dei dati sanitari, i numeri

Le violazioni dei dati sanitari si distinguono da altre tipologie di violazioni per vari motivi.

  • Una prima area di differenza riguarda chi compie gli attacchi: il numero di attori esterni e interni non varia (solo 5 punti percentuali di scostamento), evidenziando così un importante livello di abuso da parte di insider. Spesso i dati delle cartelle cliniche sono sottratti con intenti malevoli, ma ciò che i criminali cercano davvero sono i dati sensibili personali (PII – Personable Identifiable Information) quali numeri di carte di credito e di previdenza sociale al fine di agevolare i reati finanziari e le frodi fiscali. Le differenze sono evidenti anche nel modo in cui avviene una violazione. La prima modalità è solitamente il furto o la perdita di dispositivi portatili (ad esempio laptop, tablet e chiavette USB).
  • La seconda è l’errore umano, che può consistere nel semplice invio di un referto medico al destinatario sbagliato.
  • La terza è l’uso improprio di privilegi da parte di un dipendente per accedere a informazioni sensibili. Queste tre modalità costituiscono l’86% di tutte le violazioni di dati sensibili. Inoltre, possono trascorrere mesi – a volte anche anni – prima che la violazione venga scoperta.

Subfornitori, distributori, agenti, outsourcer, partner industriali e commerciali, cloud provider: la produzione del valore si avvale sempre più di una rete di soggetti, grandi e piccoli, che interagiscono fra loro scambiandosi dati, personali e di business, in formato digitale. La tutela di questi dati lungo tutto il processo dipende da ciascuno dei soggetti coinvolti che devono essere in grado di garantire, agli altri partner innanzitutto, la propria capacità di assicurare la sicurezza dei dati e la compliance dei trattamenti a tutte le normative applicabili per le attività di propria competenza.

Il Gdpr

Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati è entrato in vigore il 26 maggio 2016 ed è applicato a partire dal 25 maggio 2018.

Il Regolamento rientra nella più ampia iniziativa della Commissione Europea ed è affiancato dalla Direttiva UE 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Quest’ultima, entrata in vigore il 5 maggio 2016, è stata trasposta nelle normative nazionali dei singoli stati entro il 6 maggio 2018.

Il regolamento si applica ai dati dei cittadini dell’Unione Europea. Inoltre, a differenza della vecchia direttiva, il regolamento si applica anche a organizzazioni con sede esterna all’UE che gestiscono dati di residenti europei. Motore Sanità un anno fa ha organizzato l’evento “Security e Privacy del dato sanitario” proprio per affrontare il tema e comprendere quanta strada restava da percorrere in attesa del 25 maggio 2018. Secondo Alberto Canadè, Manager di Spike Reply, società specializzata su tematiche di cybersecurity e data protection, «a meno di 12 mesi dall’entrata in applicazione del nuovo Regolamento diverse grandi aziende avevano appena iniziato la fase di implementazione del proprio programma GDPR e molte aziende medio-piccole dovevano ancora iniziare a farlo».

Contenuti del Gdpr

Il Regolamento contiene diversi elementi innovativi rispetto alla normativa precedente, sia nell’approccio complessivo sia nei contenuti, che nel rapporto Clusit sono stati evidenziati da Claudio Caccia, presidente Asis:

  • Sul piano dell’approccio si passa dalla tradizionale “attitudine normativa”, di tipo formale che indica cosa deve essere fatto per rispettare la norma, a una idea basata sul concetto di “responsabilità” (accountability), cioè sulla centralità della responsabilità dei soggetti nella individuazione delle modalità necessarie, in ciascun contesto operativo, per perseguire gli obiettivi del regolamento. Ciò lascia spazio alle Aziende (e ai CIO) di definire e documentare, motivandolo, un percorso di miglioramento continuo nel trattamento dei dati, specifico per un dato contesto organizzativo.
  • Sotto il profilo dei contenuti trova ampio spazio la sicurezza dei dati, basata sull’analisi dei rischi, che diviene uno dei principi di fondo del regolamento con obbligo di notificare al Garante gli incidenti di sicurezza.

Il Gdpr inoltre modifica il rapporto tra fra Titolare e Responsabile anche sotto il profilo della responsabilità e quindi dei rischi connessi: «Se – come scrive Sergio Fumagalli, responsabile della Practice Data Protection di P4I, nel rapporto – con il d.lgs. 196 attualmente in vigore, tutta la responsabilità è in capo al Titolare che può eventualmente rivalersi successivamente sul Responsabile, con il Gdpr, Titolare e Responsabile sono associati, ciascuno con il proprio profilo, nella responsabilità e ne rispondono direttamente in modo solidale».

Riflessioni sul nuovo scenario normativo

Il nuovo scenario normativo impone alle imprese che trattano dati personali di prendere coscienza riguardo a temi “chiave” della nuova normativa, in particolare la centrale questione della “sicurezza e tutela del dato” nell’ambito del processo di digitalizzazione aziendale che rende essenziale l’adozione di un approccio integrato e strutturato.

Tale modus operandi si traduce in una operatività condotta non per singoli processi, comparti o funzioni d’impresa, ma piuttosto in una visione trasversale rispetto alla vita aziendale, in grado di accrescere consapevolezza e responsabilità in tutti i settori aziendali. Ciò è tanto più necessario e urgente soprattutto in considerazione degli aspetti sanzionatori previsti per le aziende inadempienti che possono raggiungere cifre fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato globale mondiale annuo. Trasparenza, finalità, minimizzazione, conservazione, misure tecniche ed organizzative, obbligo di data breach, principi di privacy by design e by default, Privacy Impact Assessment (PIA) dovranno diventare concetti estremamente familiari per le Direzioni del comparto, veicolati attraverso figure di collegamento strategiche rispetto alla vita aziendale, quali IT Manager e Responsabili degli Uffici Legali interni, i quali dovranno traghettare le imprese nel passaggio al nuovo quadro normativo.

Sicurezza e privacy nelle aziende sanitarie

Sicurezza e Privacy rappresentano due aspetti, solo apparentemente antitetici, che devono essere governati, possibilmente “ex ante”, in quanto la loro pianificazione può determinare impatti considerevoli nel disegno e nella realizzazione del sistema informativo aziendale. La criticità che oggi si evidenzia in misura sempre maggiore consiste nell’equilibrare un utilizzo sempre più esteso e pervasivo delle tecnologie informatiche nelle aziende sanitarie con i necessari requisiti di sicurezza e privacy che sono richiesti sia dagli utilizzatori del sistema informativo aziendale (team socio-sanitari) sia dai clienti che ne usano i servizi.

I cittadini chiedono di avere un ruolo sempre più attivo. In base ai risultati di una ricerca di Accenture in merito, condotta nel 2014 in 12 Paesi tra cui l’Italia, si osserva infatti che l’88% dei cittadini vuole essere coinvolto nella fase di diagnosi, nella fase di gestione del trattamento, il 75% nella gestione quotidiana della propria salute e l’83% dei cittadini vuole gestire direttamente i propri dati clinici pur in presenza di problemi di privacy (decidendo a chi, come e quando far vedere i propri dati clinici).

Secondo l’analisi proposta nel Rapporto Clusit sicurezza ICT in Italia del 2017 questa nuova propensione di cittadini e team sempre più “empowered” pone un nuovo tema: “non esiste più il cittadino off line e il cittadino on line così come non esiste più il professionista off line e quello on line: esiste una nuova categoria di “utilizz-Attori” del sistema informativo di un’azienda sanitaria che sono sempre e sempre di più on line.

I confini del sistema informativo di un’azienda sanitaria diventano quindi permeabili (non più solo clienti interni ma utilizz-Attori interni ed esterni sempre “on web”) ed estesi (ben oltre “le mura” aziendali, sempre più verso homecare, wearable, IoT)”. Ne derivano quindi nuove esigenze che necessitano di essere affrontate con adeguate attenzioni e pianificate in modo globale e strutturato prevendendo, come propone il rapporto, “disponibilità e continuità dei servizi h24, sicurezza nella gestione/consultazione ubiquitaria dei dati, privacy e integrità dei dati trattati e disponibilità dei servizi e dei dati any where e any device”.