Privacy e Sanità Pubblica: l’effetto Covid su big data e cybersecurity

di Lucia Lipari

29 SET - Gentile Direttore,
l’emergenza sanitaria in atto impone un’attenta riflessione sull’evoluzione del rapporto tra privacy e sanità pubblica e sulla rilevanza dell'interesse pubblico nell'attività di trattamento dei dati personali.
 
Le circostanze eccezionali e contingenti hanno evidenziato, apertis verbis, l’importanza della disciplina della protezione dei dati personali e di piani d’investimento sulla sicurezza informatica, finalizzati a canalizzare il flusso dei Big Data in ambito sanitario.
 
La raccolta e l’utilizzo dei dati relativi alla salute sono stati infatti strumenti indispensabili nell’azione di contrasto e contenimento della pandemia.
Una disamina puntuale però deve soffermarsi e chiarire la portata del bilanciamento tra interessi collettivi e libertà fondamentali, quando si discute di diritto, etica e sanità pubblica.

Il divieto generale di trattare le “categorie particolari di dati”, tra cui quelli sulla salute, consente alcune evidenti deroghe, che ne rendono lecito il trattamento. Queste ultime sono previste dall’art. 9 del GDPR e sono riconducibili ai trattamenti necessari per motivi di interesse pubblico rilevante sulla base del diritto dell’UE o degli Stati membri; per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici […]; per finalità di cura, e cioè finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali […].
E’ opportuno comunque ribadire che la disciplina in vigore vieta la diffusione dei dati relativi alla salute: il divieto non ha subito deroghe nell’emergenza epidemiologica. Le aziende sanitarie e gli operatori sanitari, così come le prefetture e i comuni, non possono diffondere, ad esempio mediante siti web, i nominativi dei casi accertati di positività o dei soggetti sottoposti alla misura dell’isolamento, anche qualora la finalità sia quella di contenere la diffusione dell’epidemia.

In altre parole, l’apparente compressione delle libertà individuali, la tensione tra privacy e salute pubblica, tra sistema ordinario e deroghe, può essere risolta definendo la privacy come “un diritto inquieto, mai tiranno, capace di porsi in equilibrio con gli interessi giuridici che di volta in volta vengono in rilievo”. Non si tratta di un diritto ballerino, uno swing right, bensì dialettico, espressione di garanzia per tutti i cittadini.

Secondo il Legislatore europeo quindi “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale […]” (Considerando 4 GDPR).

La crisi pandemica e la corsa alla gestione dei dati sanitari ha richiamato dunque l’attenzione degli Stati sulla straordinarietà delle misure adottate, ma anche sulla stretta connessione tra riservatezza personale, sicurezza pubblica e mondo digitale.

Invero non deve essere mai sottostimato lo spettro del data breach, perché le violazioni di dati soprattutto in momenti difficili quali quelli attuali sono dietro l’angolo, per tale motivo è fondamentale porre in essere strategie adeguate per la tutela di banche dati e siti di soggetti pubblici e privati, con particolare riguardo agli ospedali. Il telelavoro, ad esempio, ha esacerbato le molteplici criticità che enti ed aziende già presentavano, incrementando la percentuale di rischio.

Specialmente il settore ospedaliero e medico risulta da tempo colpito da attacchi ransomware, che usando dei malware criptano tutti i dati informatici in modo da bloccare l'operatività dei sanitari in cambio di denaro. I metodi di installazione più comuni del trojan ransomware sono tramite:
- e-mail di phishing (truffa informatica perpetrata da “pescatori di dati” mediante mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati);
- e l'accesso a siti web contenenti programmi nocivi.

La pericolosità di questi attacchi è cresciuta a dismisura nel corso dell’emergenza, tanto da essere divenuto emblematico il caso dell'ospedale centrale di Brno, in Repubblica Ceca, che è stato attaccato e completamente bloccato a metà marzo proprio nelle fasi iniziali di contrasto all'epidemia.

Quanto rappresentato rammenta a tutti quanto sia importante impiegare delle risorse sul fronte della cybersecurity e della sicurezza cibernetica nazionale, se si vogliono difendere i diritti e le libertà, perché il sempre crescente patrimonio informativo e digitale può mettere a repentaglio la tutela e la riservatezza dei dati trattati. L’uso dei Big Data può essere un’opportunità, purchè siano soddisfatte le aspettative degli interessati e che sia garantita loro la tutela della privacy.
 
Avv. Lucia Lipari
Data Protection Officer Strutture Sanitarie A.R.I.S. 

29 settembre 2020
© Riproduzione riservata