Risalgono a Maggio 2021 due sanzioni, comminate dal Garante della Privacy, verso due aziende sanitarie le quali, a causa di bug presenti nei software da esse utilizzato, hanno causato la trasmissione di dati personali (e addirittura sensibili) a soggetti terzi.
Nel primo caso, occorso in Emilia-Romagna, un difetto del software NON teneva conto del flag sul box col quale il paziente richiedeva che le proprie informazioni non venissero trasmesse al medico di famiglia.
Sono stati 48 i pazienti che hanno visto i propri dati trasmessi contro le proprie volontà, e nonostante l'azienda si sia attivata rapidamente per far sanare la situazione alla ditta fornitrice del suddetto software, la sanzione applicata è stata di 120.000€
Anche nel secondo caso, accaduto in Trentino, sono stati trasmessi dati sensibili ai medici di famiglia contro la volontà degli utenti.
Il bug, in questo caso, riguardava la richiesta esplicita di oscuramento dei dati verso il MMG, che veniva ignorata dal sistema il quale si riferiva invece al consenso generico rilasciato in fase iniziale dal paziente.
In questo caso, a fronte di 293 referti diffusi contro la volontà dei pazienti, la sanzione è valsa 150.000€
Perché la responsabilità è delle aziende?
Vale la pena notare che, nonostante le due aziende sanitarie si siano mosse proattivamente una volta scoperta la violazione per sanare la situazione, e che la causa effettiva della violazione fosse una il garante ha comminato comunque una sanzione molto elevata, giudicandole direttamente responsabili dell'accaduto.
Questi casi denotano una lacuna normativa, che non coinvolge i produttori di software nella responsabilità per violazioni privacy.
È probabile che in futuro tale lacuna verrà colmata tramite appositi correttivi.
Nel frattempo, le aziende devono operare in prima persona per verificare il rispetto della Privacy by design e by default dei sistemi che utilizzano.
Cosa devono fare le aziende?
I termini "privacy by design" e "privacy by default" possono suonare un po' vaghi, in realtà si traducono in numerose attività di affinamento e verifica della propria infrastruttura.
Di seguito proveremo a fornire qualche semplice esempio, ma ci sono tre aspetti che è bene tenere a mente:
- Ci vuole tempo
Il tempo è denaro, ma come si è visto le multe non sono certo leggere, per questo è bene non dedicarsi a questo lavoro sbrigativamente.
Occorre tempo per analizzare la propria infrastruttura e i propri flussi di dati, verificare ad ogni passaggio il rispetto dei diritti dell'utente e la trasparenza e sicurezza dei trattamenti. - Una volta non basta
La verifica del rispetto della Privacy dei propri sistemi, così come la verifica della loro messa in sicurezza, deve essere ripetuta periodicamente.
Operazioni comuni come gli aggiornamenti automatici dei sistemi, introduzione di nuovi impiegati e altre piccole modifiche alla struttura informatica aziendale possono aprire nuove falle nel sistema, che vengono rilevate solo dalla ripetizione dell'analisi di sicurezza. - Non improvvisare
L'analisi di sicurezza e conformità privacy non può essere effettuata da non addetti ai lavori.
Il GDPR stabilisce casi precisi in cui l'azienda deve nominare un DPO, ovvero uno specialista che, tra gli altri incarichi, deve compiere audit regolari sullo stato della privacy della propria azienda.
È però consigliabile, anche qualora non si sia vincolati ad avere un DPO, di dotarsi di consulenti capaci per le operazioni più complesse, in particolare le analisi del rischio e gli assesssment di rete.
Chiariti questi tre punti, eccolo un piccolo elenco di verifiche, tratte dall'esperienza nella gestione di centinaia di aziende, che potete effettuare autonomamente, sotto forma di domande da porvi:
- Univocità e profilazione degli utenti interni
Ciascun dipendente ha un suo accesso univoco ai sistemi aziendali, o c'è la classica situazione in cui tutti conoscono la password di "tizio" ed entrano con la sua utenza?
Poniamo che ciascun utente abbia un suo profilo.
Sono applicate misure di autorizzazione basate suo ruolo, in modo che il dipendente abbia accesso SOLO ai dati di cui ha bisogno per lavorare, oppure tutti accedono a tutto? - Two Factor Authentication
Molti sistemi moderni consentono di implementare l'autenticazione a 2 fattori.
Come farlo sarà oggetto di un articolo dedicato, basti sapere che nella maggior parte dei casi si può attivare facilmente e con minimo impegno.
Questa semplice misura di protezione degli accessi, quando implementata, riduce oltre il 90% degli effetti del furto di credenziali, e quindi di dati.
I vostri sistemi lo supportano? Se sì, è già stato implementato, in particolare sui sistemi di posta elettronica e sugli accessi amministrativi dei vostri sistemi? - Backup
Può sembrare banale, ma molto spesso le aziende non si rendono conto di non avere tutti i propri sistemi sotto backup.
Avete un sistema di backup attivo? Meglio ancora, un backup locale e uno in cloud?
Effettuate regolarmente delle prove di restore dei dati? Avete mai accertato l'effettivo completamente del salvataggio dati? - Flusso dei dati
Anche se redigere un registro dei trattamenti non è obbligatorio, è opportuno conoscere il flusso dei dati che si gestiscono, in particolare se personali.
Quindi, sapete dove vengono salvati i dati trattati in azienda? Su quali supporti? A chi vengono trasmessi? - Controllo e cifratura degli Endpoint
Sicuramente anche nella vostra azienda molti impiegano dispositivi portatili.
Se uno viene rubato, avete modo di bloccarne l'accesso tramite un sistema di Mobile Device Management?
I dati contenuti in questi dispositivi sono criptati in modo da impedirne l'accesso all'eventuale ladro? - Patch e aggiornamenti
Spesso scaricare e installare gli aggiornamenti è spesso fastidioso, richiede tempo, e una volta concluso non è raro trovare malfunzionamenti.
Eppure gli aggiornamenti sono fondamentali, perché sono il sistema attraverso cui il produttore corregge i famosi "bug" e le vulnerabilità di un software, aumentando il livello di sicurezza.
Effettuate una verifica periodica di disponibilità di patch e aggiornamenti?