Sicurezza dei dati in ambito sanitario: gli ultimi provvedimenti del Garante

I dati sanitari, per molteplici motivi, rivestono una notevole importanza e sono quelli che richiedono le maggiori attenzioni e garanzie da parte di Titolari, Responsabili e Incaricati del trattamento. L’ambito sanitario sarà sempre di più oggetto di innovazione digitale con tutti i suoi pro, in termini di prestazioni e ottimizzazione dei servizi, e con tutti i suoi contro, consistenti nella maggiore esposizione a minacce e rischi cyber.

Esaminiamo i più recenti provvedimenti del Garante in ambito di trattamento dei dati sanitari, per capire quali sono i punti deboli relativi alla loro protezione, alla luce anche delle nuove sfide che dovremo affrontare con la digitalizzazione della sanità.

L’importanza del dato sanitario

I dati sanitari esigono protezione e sicurezza sotto un duplice profilo “esterno” e “interno”. Da un lato, infatti, essi necessitano di una tutela rafforzata rispetto ai rischi di accesso indebito, alterazione, manipolazione, connessi ad attacchi cibernetici sempre più spesso diretti a sistemi informativi sanitari, proprio in ragione del pregiudizio esponenziale derivante dalla paralisi dei servizi sanitari. È notizia di questi giorni del rischio di un attacco cyber a danno di enti governativi italiani e aziende strategiche per l’interesse nazionale, quali le aziende e le strutture sanitarie, con l’invito di innalzare le misure di tutela e il livello di attenzione.

Il CSIRT (Computer Security Incident Response Team), struttura istituita presso l’Agenzia per la cybersicurezza nazionale, ha raccomandato di monitorare in tempo reale i sistemi di sicurezza informatica per scongiurare possibili attacchi. Benché l’alert sia stato diramato per la giornata di domenica 6 marzo 2022, il livello di attenzione deve essere molto elevato, a maggior ragione finché le tensioni legate alla situazione internazionale, scaturite dal conflitto in Ucraina, non si saranno allentate.

Per altro verso, i dati sanitari necessitano di protezione dalle possibili violazioni “interne” siano esse dovute a errori umani o a un uso improprio delle strutture informatiche. In un recente intervento^[1], il presidente dell’Autorità Garante per la protezione dei dati personali ha ribadito l’importanza della tutela di questa categoria di dati che di fatto sono tra quelli che beneficiano della maggiore tutela accordata dall’ordinamento: misure di garanzia rafforzate, presupposti di liceità del trattamento particolarmente stringenti, declinazione più tassativa del canone di proporzionalità, pari rango quale criterio rigoroso di legittimazione dell’accesso anche soltanto documentale, stretta indispensabilità a fini informativi quale parametro di ammissibilità della comunicazione giornalistica, divieto di divulgazione.

Gli obiettivi in ambito sanitario

Un aspetto attuale che riguarda la sanità è la sua digitalizzazione che è vista come una straordinaria occasione di sviluppo innovazione, competitività, da promuovere per l’efficienza e universalità delle cure e per una migliore programmazione della spesa sanitaria. Tuttavia, come affermato dal Garante: “la sanità digitale va realizzata all’interno di un progetto organico e lungimirante di governance sanitaria, che minimizzi i rischi cibernetici e promuova una condivisione selettiva dei dati, a fini di promozione della ricerca, ma con le dovute cautele per evitare ogni possibile reidentificazione degli interessati. La disciplina privacy ben può rappresentare il baricentro attorno a cui possa orientarsi un governo lungimirante delle informazioni sanitarie e, dunque, un progetto di politiche pubbliche capace di valorizzare la salute come diritto fondamentale del singolo ma anche, appunto, interesse della collettività, con le garanzie necessarie per assicurare quel “rispetto della persona umana” imposto dall’art. 32 Cost.. Si tratta di garanzie tanto più rilevanti in quanto, sulla sinergia tra salute, innovazione e privacy si giocherà una sfida sempre più determinante per le nostre società, che dobbiamo impegnarci a vincere nel segno, ancora una volta, della centralità della persona e della sua dignità”.

Ed è proprio in quest’ottica di innovazione che, grazie al PNRR, saranno attuati gli obiettivi per l’evoluzione del modello di sanità. Saranno investiti circa 2,5 miliardi di euro, in particolare, 1,3 miliardi per creare un’infrastruttura dati (Fascicolo Sanitario Elettronico) omogenea sul territorio nazionale e che raccolga tutta la storia clinica degli assisti e 1 miliardo per attivare la telemedicina, ovvero erogare servizi sanitari digitali sulla base dell’infrastruttura dati^[2].

Tutto questo comporterà indubbiamente una maggiore preparazione e attenzione in termini di sicurezza da parte degli operatori.

Aumentando le funzioni e i servizi e le tecnologie connesse, inevitabilmente aumentano i rischi.

I provvedimenti dell’Autorità Garante riguardanti i dati sanitari

Facciamo ora una breve analisi dei provvedimenti più recenti dell’Autorità Garante per capire quali sono le violazioni più comuni nell’ambito dei dati sanitari.

I primi tre provvedimenti di seguito citati hanno riguardato la violazione del trattamento dei dati dovuta a errore nella consegna dei referti, con conseguente comunicazione a terzi estranei di dati relativi alla salute, in assenza di un idoneo presupposto giuridico.

Errore nella consegna dei referti

1. Con un’ordinanza ingiunzione del 28 ottobre 2021, l’Autorità provvedeva in seguito a una segnalazione per una violazione del Regolamento derivante da una erronea consegna dei referti. In particolare, alla madre della reclamante, dopo aver effettuato un esame diagnostico dell’ecocardiogramma le sarebbe stato consegnato il referto di un’altra paziente in allegato alle immagini relativo all’esame della signora segnalante. In pratica, a causa di un problema tecnico verificatosi nella stampante, questa ha prodotto, invece che il referto inviato in stampa dal medico in quel momento, un referto precedente che era rimasto in memoria per un errore^[3].
2. Con ordinanza ingiunzione del 25 novembre 2021 veniva sanzionata una struttura ospedaliera per aver effettuato una comunicazione di dati relativi alla salute, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento. La comunicazione è avvenuta mediante l’inserimento di due referti di una paziente nel plico destinato ad un altro paziente. Anche in questo caso l’errore umano si sarebbe potuto evitare attraverso un più accurato controllo dei dati al fine di verificare la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato^[4].
3. Sempre a causa di una violazione dei dati conseguenti a un errore umano, dopo la segnalazione da parte di una paziente e dopo la notifica di un data breach da parte dell’Azienda Sanitaria, la stessa è stata sanzionata con provvedimento del 2 dicembre 2021 per aver inviato l’esito di esami clinici ad un destinatario non corrispondente al nominativo indicato nei referti ^[5].

Data breach

Due provvedimenti rispettivamente del 2 dicembre 2021^[6] e del 16 dicembre 2021^[7] hanno riguardato invece data breach conseguenti ad attacchi informatici riconducibili al collettivo hacker “LulzSecIta”.

1. Nel primo caso, la Casa di Cura ha comunicato che “un soggetto qualificatosi come hacker e denominato “LulzSecIta”, ha pubblicato sul proprio account su Twitter il seguente messaggio: «Tanti soldi spesi nella sanità, e poi nostri dati privati e sensibili, sono protetti da password di default. Che schifo». Premessa, la struttura aveva installato un software per consentire al personale medico di poter accedere da remoto alla diagnostica per immagini. In seguito alla richiesta di accertamenti, la Casa di Cura ha dichiarato che gli hacker sono riusciti ad entrare nell’IP pubblico; nello specifico non è stata usata per la configurazione la porta standard “80” ma una porta non standard “88”, solo arrivando a questo punto ha trovato l’accesso grazie alle seguenti impostazioni identificative: user id “admin” password “admin”. Il garante ha giustamente ritenuto che l’utilizzo del protocollo “http” per accedere al software, nonché l’assegnazione di un’utenza di tipo amministrativo (admin) e password non robusta (admin) al medico radiologo, non possano essere considerate misure idonee a garantire un adeguato livello di sicurezza ai sensi degli artt. 5, par. 1, lett. f), e 32, par. 1, lett. a) del Regolamento, che individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio.
2. La violazione sanzionata con provvedimento del 16 dicembre 2021 ha riguardato la pubblicazione, sul proprio profilo Twitter da parte del gruppo hacker, di un elenco di nominativi ed esami radio-diagnostici effettuati presso un Centro Medico. Dall’attività istruttoria è emerso che, al momento in cui si era verificata la violazione dei dati personali, il server consentisse connessioni non autenticate e che lo stesso fosse raggiungibile dall’esterno. Il server, infatti, se opportunamente interrogato, restituiva i metadati richiesti (nominativo, data di nascita e tipo di esame eseguito) senza verificare l’identità e autenticare il soggetto (uomo o macchina) che effettuava la richiesta. La soluzione adottata dal Centro non poteva essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, considerato che la raggiungibilità del server, da rete internet, senza autenticazione, aveva reso possibile l’accesso a dati, anche riguardanti la salute, da parte di soggetti non autorizzati. Inoltre, da una verifica effettuata dal Garante, era risultato che il Centro non avesse pubblicato i dati di contatto del responsabile della protezione dei dati, da designare ai sensi dell’art 37, par. 1, lett. c) del Regolamento, e non li avesse comunicati, al momento della verifica, al Garante, utilizzando la prevista procedura dallo stesso indicata.
3. Molto singolare è stata la violazione sanzionata con provvedimento del 28 ottobre 2021^[8], che ha visto protagonista un medico che consegnava agli assistiti le prescrizioni (prive di busta) fissandole con delle mollette da bucato attaccate a un asse di legno appoggiato al davanzale della finestra dello studio medico, situato al piano terra e rivolto sul marciapiede della pubblica via, la giustificazione che il medico ha dato della propria condotta è stata legata alla situazione relativa all’emergenza sanitaria e alla limitazione dei contatti sociali. Le giustificazioni addotte dal medico ovviamente non hanno consentito di superare le contestazioni. Il Garante, già nel comunicato stampa del 14 novembre 2014, aveva espressamente fatto presente che: “le ricette mediche possono essere lasciate presso le farmacie e gli studi medici per il ritiro da parte dei pazienti, purché siano messe in busta chiusa. Lasciare ricette e certificati alla portata di chiunque o perfino incustodite, in vaschette poste sui banconi delle farmacie o sulle scrivanie degli studi medici, viola la privacy dei pazienti”.

Misure di sicurezza non adeguate

I prossimi due provvedimenti riguardano violazioni causate da misure di sicurezza non adeguate.

1. La segnalazione che ha portato al provvedimento dell’11 marzo 2021^[9] ha riguardato un elenco degli interventi chirurgici effettuati da un dirigente medico e allegati alla domanda di partecipazione a un avviso pubblico per l’affidamento dell’incarico di direzione di struttura complessa. L’elenco conteneva nome, cognome, reparto di ricovero, data e tipologia di intervento effettuato. L’istruttoria avviata dal Garante era finalizzata a verificare da chi fossero stati effettivamente fatti gli accessi ai sistemi informativi, purtroppo però l’application Log dell’applicativo denominato Sow (Sale Operatorie Web), utilizzato all’epoca dei fatti e al momento della verifica dismesso, registrava il login e logout dell’utente. Oltre a questi log, il sistema consentiva di registrare le Select effettuate dagli utenti. Tali log di sistema non erano al momento conservati, in quanto i dati di log registrati in backup sono stati sovrascritti. Sempre dalle verifiche è emerso che l’applicativo in uso al momento della verifica in sala operatoria è denominato B.O. (Blocco Operatorio), che consente di effettuare l’estrazione dei dati relativi a soggetti che effettuano l’intervento operatorio, divisi per reparto. Sull’applicativo B.O. sono tracciati i log delle operazioni effettuate. Tali log sono conservati in un sistema di registrazione che rileva gli ultimi 10 log storici più quello in linea, per una capienza massima di 10 Mega. Dall’accertamento effettuato risultano registrati gli ultimi 10 log che risalgono agli ultimi 30 minuti di operatività del sistema. Il Garante, in relazione alla tracciabilità degli accessi, con riferimento al dossier sanitario, aveva evidenziato i file di log devono registrare per ogni operazione di accesso al dossier effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. In ragione della particolare delicatezza del trattamento dei dati personali effettuato mediante il dossier è necessario che siano tracciate anche le operazioni di semplice consultazione (inquiry); è stato, altresì, previsto che il titolare deve individuare un congruo periodo di conservazione dei log di tracciamento delle operazioni che risponda, da un lato, all’esigenza per gli interessati di venire a conoscenza dell’avvenuto accesso ai propri dati personali e delle motivazioni che lo hanno determinato e, dall’altro, alle esigenze medico legali della struttura sanitaria titolare del trattamento di dati personali, valutando, come congruo un periodo di conservazione non inferiore a 24 mesi dalla data di registrazione dell’operazione.
2. Sempre in ambito di misure di sicurezza, un interessato ha segnalato al Garante che accedendo al sito di una azienda socio sanitaria per prenotare una prestazione, ha constatato che il servizio di prenotazione era effettuato su un protocollo di rete “http” e che rimuovendo l’estensione “Prenotazione.php” dall’indirizzo del sito Internet della predetta Azienda, era possibile accedere alle informazioni in chiaro relative ad alcuni assistiti dell’Azienda che avevano aderito alla campagna vaccinale influenzale 2020/2021 ed in particolare ai seguenti dati: nome, cognome, codice fiscale, recapiti telefonici, luogo di prenotazione e di somministrazione del vaccino antinfluenzale. Tale trattamento è quindi risultato non conforme ai principi di “integrità e riservatezza” e non sono state attuate fin dalla fase di progettazione tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Al titolare inoltre, è stato contestato, nel provvedimento del 27 gennaio 2022, il ritardo (avvenuto senza motivazione) nella notifica della violazione^[10].
3. L’ultimo provvedimento del 13 gennaio 2022^[11], riportato nel presente contributo, è stato emanato per una violazione che riguarda le informative. In particolare, l’Azienda sanitaria ha predisposto delle informative indicando e richiedendo il consenso come base giuridica del trattamento dei dati personali svolti per finalità di cura degli interessati. Dall’istruttoria preliminare è emerso che sul sito erano pubblicate n. 5 informative e nello specifico stato rilevato che in tali informative erano indicate molteplici finalità di trattamento, quali quelle di cura, amministrative e di ricerca scientifica, ma non sempre erano indicate le relative basi giuridiche e che, laddove richiamate, tali basi giuridiche risultavano comunque erronee o contraddittorie. Le informative, infatti, indicavano nel consenso degli interessati la condizione di liceità dei trattamenti svolti per finalità di cura. Ciò, anche laddove come nel documento denominato “informativa sul trattamento dei dati personali” nel quale, pur citandosi correttamente nella parte introduttiva l’art. 9, par. 2, lett. h) del Regolamento, come condizione di liceità per il trattamento dei dati per finalità di cura, veniva poi erroneamente ribadita l’indispensabilità del consenso degli interessati per poter accedere alle cure o in relazione al trattamento dei dati per le finalità amministrative ad esse correlate. In merito al trattamento effettuato per finalità di ricerca scientifica essa si limitava a specificare che: “i dati saranno privati dei dati identificativi che possano ricondurre direttamente all’interessato”. Da ultimo è stata rilevata un’incongruenza in relazione ai tempi di conservazione ed evidenziato all’Azienda che nel documento denominato “Informativa sul trattamento dei dati personali (completa)” veniva indicata quale base giuridica di taluni trattamenti “l’interesse legittimo del titolare”, ciò in contrasto con l’art. 6, par. 1 del Regolamento che stabilisce che la lett. f) del primo comma del medesimo articolo – che prevede quale condizione di liceità del trattamento, il legittimo interesse del titolare o del terzo alle condizioni ivi indicate- non trova applicazione al trattamento dei dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Inoltre, l’art. 9 del Regolamento non prevede quale deroga al divieto di trattamento delle particolari categorie di dati, l’interesse legittimo del titolare del trattamento. Inoltre, nelle stesse informative non sempre era indicato il periodo di conservazione dei dati personali e le informative erano sottoscritte dal DPO.

Conclusioni

Dai provvedimenti emanati risulta che in media le violazioni riguardanti i dati sanitari sono state causate da errori che sarebbero potuti essere evitati facilmente: per quanto riguarda i referti inviati ai destinatari non titolari dei dati, basterebbe una maggiore attenzione da parte dell’operatore o l’attuazione di procedure che possano prevedere un controllo più accurato. Sono state delle misure di sicurezza non adeguate inoltre, che hanno consentito e facilitato le altre violazioni. Dalla panoramica effettuata penso sia evidente ai più come le tutte le violazioni siano state causate da errori – mi sia concesso il termine – grossolani, ed è proprio per questo che possono essere più facilmente evitati. Infatti non si può negare che le violazioni causate dagli attacchi hacker citati siano state facilitate dall’assenza di adeguate se non addirittura minime misure di sicurezza. Ora, se pensiamo alle ambizioni tecnologiche future legate all’ambito sanitario è evidente come il rischi aumentino in misura esponenziale ed è altrettanto evidente come non ci si possa permettere determinati errori.

A volte si ha la sensazione che le ambizioni per il futuro siano molto elevate (come del resto è giusto che siano, diversamente non si avrebbe il progresso), ma che ci sia ancora tanta strada da fare per aumentare la consapevolezza e la conoscenza di chi si trova quotidianamente a occuparsi del trattamento dei dati personali, soprattutto sanitari, e di chi si troverà a trattare i dati con l’uso di con tecnologie più sofisticate.

Fonti

1. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9747071 ↑
2. https://www.quotidianosanita.it/governo-e-parlamento/articolo.php?articolo_id=102843 ↑
3. doc. web n. 9724881 – https://www.garanteprivacy.it/ ↑
4. doc. web n. 9732967 – https://www.garanteprivacy.it ↑
5. doc. web n. 9739586 – https://www.garanteprivacy.it ↑
6. doc. web n. 9734884 – https://www.garanteprivacy.it ↑
7. doc. web n. 9739609 – https://www.garanteprivacy.it ↑
8. doc. web n. 9716887 – https://www.garanteprivacy.it ↑
9. doc. web n. 9583597 – https://www.garanteprivacy.it ↑
10. doc. web n. 9746448 – https://www.garanteprivacy.it ↑
11. doc. web n. 9742959 – https://www.garanteprivacy.it ↑