Claudia Ciamp
4. Privacy e Tutela dei Dati Sanitar
4.2 Le Misure Minime di Sicurezza
Oltre all’obbligo di individuare ed attuare idonee e preventive misure di protezione, il DLgs. n.196/2003 identifica e dettaglia anche una serie di misure di sicurezza (artt. 33, 34, 35) la cui adozione garantisce quello che la legge definisce il “livello minimo” di protezione dei dati ed è “conditio sine qua non” per lo svolgimento delle attività di trattamento.
Dette misure devono essere implementate dagli organismi sanitari secondo le modalità definite nel “Disciplinare Tecnico in materia di misure minime di sicurezza” allegato al Codice (Allegato B) e si applicano sia ai trattamenti effettuati nel settore privato che in quello pubblico.
Per i trattamenti svolti con l’ausilio di strumenti elettronici il Codice riporta (art. 34 del DLgs. n.196/03 e regole 1-18 e 20-25 Allegato B):
Utilizzo di un sistema di autenticazione informatica (art.34 c1 lett.a)
Utilizzo di un sistema di autenticazione informatica per l’accesso ai sistemi che consenta il trattamento dei dati solo a soggetti previamente autorizzati, dotati di credenziali di autenticazione che assicurino il superamento di una procedura di autenticazione relativa a uno specifico trattamento o ad un insieme di trattamenti (regola 1 Allegato B) Adozione di procedure di
gestione delle credenziali di autenticazione
(art.34 c1 lett.b)
Assegnazione o Associazione individuale ad ogni incaricato di una o più credenziali per l’autenticazione (regola 3 Allegato B) che possono concretizzarsi (regola 2 Allegato B) in user id e password, nei sistemi più sofisticati in badge e smart card, oppure in sistemi di autenticazione biometrici (impronta digitale, iride dell’occhio).
Definizione di istruzioni da impartire agli incaricati in cui è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale (ad esempio, la parola chiave non dovrà apparire sul video quando viene digitata e non dovrà essere digitata davanti ad altre persone), la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato, e di evitare di lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (regola 4 e 9 Allegato B).
Adozione di “Password Policy” che assicurino l’utilizzo di password sufficientemente lunghe (otto caratteri o il massimo consentito dal sistema), sufficientemente complesse e non riconducibili agevolmente all’incaricato (ad esempio: non devono essere associabile a caratteristiche note dell’assegnatario tipo nomi dei familiari, date di nascita; non devono derivare dallo user id tipo essere identico, inverso, con le lettere raddoppiate; non devono avere riferimenti a dati personali quali indirizzo, telefono, codice fiscale, numero della patente), modificate al primo utilizzo e successivamente ogni tre mesi per i dati sensibili e giudiziari ed ogni 6 mesi per i dati personali comuni (regola 5 Allegato B).
Impossibilità di assegnare agli incaricati, neppure in tempi diversi, codici per l’identificazione già utilizzati (regola 6 Allegato B).
Disattivazione delle credenziali di autenticazione non utilizzate dagli incaricati del trattamento da almeno sei mesi (ad esempio per malattia, maternità, aspettativa), fatta eccezione per quelle preventivamente autorizzate per soli scopi di gestione tecnica (regola 7 Allegato B) o in caso di perdita della qualità che consentiva all’incaricato l’accesso ai dati personali (ad es. dimissioni, licenziamento, cambio di ruolo…) (regola 8 Allegato B).
Adozione di procedure e soluzioni atte ad assicurare la disponibilità dei dati o degli strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema (regola 10 Allegato B).
Utilizzo di un sistema di autorizzazione
(art.34 c1 lett.c)
Utilizzo di un sistema di autorizzazione in caso di individuazione di profili di autorizzazione di ambito diverso per gli incaricati (regola 12 Allegato B).
Individuazione e configurazione anteriormente all’inizio del trattamento dei profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni autorizzate (regola 13 Allegato B).
Verifica almeno annuale della sussistenza delle condizioni per la conservazione dei profili di autorizzazione (regola 14 Allegato B). Aggiornamento periodico
dell’ambito del trattamento consentito
(art.34 c1 lett.d)
Compilazione della lista degli incaricati e degli addetti alla gestione o alla manutenzione degli strumenti elettronici recante l’ambito del trattamento consentito. La lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Aggiornamento periodico con cadenza almeno annuale della lista (regola 15 Allegato B).
Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici (art.34 c1 lett.e)
Adozione di idonei sistemi di sicurezza contro i rischi di intrusione (Firewall, IPS, IDS…) e dall’azione di programmi cd. malevoli (Antivirus…) ed aggiornamento periodico almeno semestrale (regola 16 Allegato B).
Aggiornamento periodico almeno semestrale, in caso di trattamento di dati sensibili e/o giudiziari, oppure annuale, in caso di trattamento di dati personali comuni, dei sistemi operativi e dei programmi per elaboratore utilizzati nel trattamento dei dati al fine di prevenire la vulnerabilità degli strumenti elettronici e correggerne difetti (regola 17, Allegato B). Protezione dei dati sensibili o giudiziari contro l’accesso abusivo mediante l’utilizzo di idonei strumenti elettronici (regola 20, Allegato B). Adozione di procedure
per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
(art.34 c1 lett.f)
Approntamento di Istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale (regola 18, Allegato B) e di misure atte a garantire il ripristino dell’accesso ai dati sensibili e giudiziari in caso di danneggiamento degli stessi o degli strumenti elettronici (sistema di backup coordinato ad un piano di Business Continuity e Disaster Recovery), in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (regola 19, Allegato B).
Definizione di istruzioni organizzative e tecniche da impartire agli incaricati per assicurare la custodia e l’uso dei supporti rimovibili contenenti ai dati sensibili e giudiziari al fine di evitare accessi non autorizzati e trattamenti non consentiti (regola 21, Allegato B).
Distruzione od inutilizzabilità dei supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati. Possibilità di riutilizzo da parte di altri incaricati, non autorizzati al trattamento degli stessi dati, solo se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. (regola 22 Allegato B).
Adozione di tecniche di cifratura o di codici identificativi per dati idonei a rivelare lo stato di salute o la vita sessuale, trattati da organismi sanitari
(art.34 c1 lett.h)
Trattamento dei dati sanitari in modo separato dagli altri dati dell’interessato.
Trattamento dei dati relativi all’identità genetica in appositi locali da addetti autorizzati.
Se i dati relativi all’identità genetica sono trasferiti all’esterno dei locali riservati al loro trattamento, inserimento dei dati in formato cartaceo in contenitori dotati di serratura, o cifratura dei dati in formato elettronico (regola 24 Allegato B).
Misure di tutela e garanzia (regola 25 Allegato B)
Richiesta di rilascio, da parte dei soggetti esterni cui si affida l’adozione delle misure minime di sicurezza, di una descrizione scritta dell’intervento effettuato che certifichi la conformità dell’installazione o del servizio alle regole dell’Allegato B.