Misure di sicurezza

Il Garante Privacy sottolinea come la delicatezza dei dati per- sonali trattati mediante FSE imponga l’adozione di specifici accorgi- menti tecnici per assicurare idonei livelli di sicurezza (art. 31 Codice Privacy), ferme restando le misure minime che ciascun titolare del trat- tamento deve comunque adottare ai sensi del Codice (artt. 33 ss. Codice Privacy). In considerazione della qualità dei dati che un sistema di FSE tratta, è di tutta evidenza come gli aspetti di sicurezza siano centrali an- che e soprattutto per ingenerare il giusto livello di fiducia negli operato- ri e nei fruitori dell’intera piattaforma78_.

78 _{Il quadro normativo di riferimento nell’ordinamento italiano appare ampio e va-}

riegato. Esso è, innanzitutto, costituito dall’art. 22 Codice Privacy rubricato «Principi applicabili ai dati sensibili e sanitari». I comma 6 e 7 infatti così recitano: «6. I dati sen- sibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad acceder- vi e permettono di identificare gli interessati solo in caso di necessità. 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l’ausilio di strumenti elettronici». Sempre nel Codice Privacy, tro- viamo poi l’art. 34, co. 1, lett. h, che impone «l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari», e l’Allegato B del Codice «Discipli- nare tecnico in materia di misure minime di sicurezza», che prevede i requisiti che un sistema informativo deve implementare tra i quali quelli di cui al punto 24: «Gli organi- smi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati ido- nei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all’articolo 22, co. 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di i- dentificare direttamente gli interessati. I dati relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato». Nel

Le LG FSE prevedono espressamente gli aspetti relativi alla si- curezza informatica che devono essere necessariamente incorporati nel- la piattaforma:

• idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integra- zione dei dati);

• procedure per la verifica periodica della qualità e coerenza delle cre- denziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;

• individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;

• tracciabilità degli accessi e delle operazioni effettuate;

• sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie79_.

L’adozione di un sistema di autenticazione «sicuro» appare un aspetto cruciale per una piattaforma di FSE80_{. Il Documento di lavoro}

contesto italiano vanno poi ricordate l’Autorizzazione n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale del 16 dicembre 2009 e l’Autorizzazione generale del Garante al trattamento dei dati genetici del 22 febbraio 2007, ulteriormente differita il 22 dicembre del 2009 (v. Ulteriore differimento dell’efficacia dell’Autorizzazione al trattamento dei dati genetici rilasciata il 27 aprile 2010). Vi sono poi fonti internazionali, le quali, sebbene non dotate di carattere cogen- te, trovano applicazione in materia. Ci riferiamo alla Raccomandazione R (97) 5 del Consiglio d’Europa, relativa alla protezione dei dati sanitari, ed al «Documento di lavo- ro sui dati genetici» adottato il 17 marzo 2004 dal Gruppo Articolo 29. In tema di san-

zioni penali per illecito trattamento dei dati sanitari, v., anche se datato, C. SARZANA DI

S.IPPOLITO,Responsabilità penali connesse al trattamento ed all’uso dei dati sanitari,

in Dir. pen. e proc., 2002, 903.

79 _{LG FSE, p. 10.3.}

80 _{Nel romanzo M. F}

IORANELLI,P.ZULLINO, Io, Ippocrate di Kos, Roma-Bari, 2009

a pagina 42 gli autori fanno pronunciare al mitico fondatore dell’arte medica una frase sicuramente calzante al tema oggetto qui di approfondimento: «Questa degli impostori è una piaga che dovrà affliggerci fino a quando i governi non avranno trovato il modo

CCE Gruppo art. 29 nella parte terza («Riflessioni su un quadro giuri- dico adatto per i sistemi di CCE») tratta di «Identificazione e ricono- scimento dei pazienti e del personale sanitario» e sottolinea come

l’identificazione affidabile dei pazienti nei sistemi CCE è di fonda- mentale importanza. L’utilizzo di dati sulla salute relativi alla persona sbagliata, a causa di un errore di identificazione, può avere conse- guenze spesso nefaste.

Più avanti nello stesso testo si legge

dato il carattere particolarmente delicato dei dati sulla salute le perso- ne non autorizzate non devono potervi accedere. Un controllo affida- bile dell’accesso dipende da un’affidabile identificazione e riconosci- mento. Per questo è indispensabile identificare inequivocabilmente gli utilizzatori e anche riconoscerli correttamente81_.

La soluzione proposta dal Gruppo articolo 29, che si ritrova tra l’altro in alcuni esperimenti italiani a livello regionale, è rappresentata dall’utilizzo di smart card che garantiscano un elevato livello di affida- bilità e sicurezza:

Le tessere sanitarie basate sul sistema delle smart card potrebbero contribuire in maniera significativa a una corretta identificazione elet-

di provare le identità personali. Oggi chiunque si presenta tra due comparti che gli reg- gono il gioco e dice “sono il Tale” e può essere creduto. Chiunque scrive lettere e si firma col nome di chiunque: puoi cascarci. Nella posta ci affidiamo agli anelli-sigillo che imprimono il nostro logo sulla ceralacca, ma è ben poco, perché si possono falsifi- care. Qualcuno ha escogitato codici di sicurezza: ad esempio, se nella terza e terzultima riga del testo risulta scritta una stessa parola, la lettera che stai leggendo è proprio mia. Ma è arzigogolo da uomini politici. Da servizi segreti, da avvocato. Mica da gente co- mune».

tronica dei pazienti e anche al loro riconoscimento se vogliono acce- dere ai dati della loro CCE82_.

I sistemi informativi prevedono l’uso di dispositivi per verifica- re l’identità digitale dell’utente prima di autorizzarne l’accesso alle ri- sorse presenti nei diversi domini di cui essi si compongono. Nel nostro caso sarebbe, quindi, opportuno affiancare all’attribuzione al cittadino di login e password l’erogazione anche di una smart card. Questa può essere rappresentata dalla più volte promessa, ma mai pienamente rea- lizzata a livello nazionale, «Carta d’Identità Elettronica (CIE)», consi- stente in una carta a microprocessore con caratteristiche del documento di riconoscimento «a vista» affiancate a requisiti di sicurezza fisica (banda ottica, ologrammi, foto del titolare), o dalla «Carta Nazionale dei Servizi (CNS)», una smart card progettata per consentire l’accesso ai servizi on-line della pubblica amministrazione83_.

In ogni caso il trattamento di dati sanitari tramite sistemi di FSE deve basarsi sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i vari titolari coinvolti84_.

2.12 Una nuova frontiera: piattaforme Personal Health Record e dati