Gdpr, il primo ospedale multato è portoghese

Che il sistema sanitario sia tra i primi obbiettivi degli hackers è cosa nota. 

Nel corso degli ultimi anni è salito vertiginosamente il numero degli assalti ai danni di strutture e operatori sanitari, ed è tristemente famoso il caso dell’attacco ransomware che nel maggio del 2017 ha bloccato per alcuni giorni l’Nhs, il sistema sanitario britannico. 

In quel caso, nel giro di poche decine di minuti, la quasi totalità dei computer degli ospedali presenti nell’arcipelago britannico subì un arresto della rete informatica, che rese inutilizzabili anche le linee telefoniche. Per evitare il caos, l’Nhs dovette invitare i cittadini a non recarsi negli ospedali e nei pronto soccorso, se non per casi di emergenza grave, e molte direzioni sanitarie dovettero rinviare le operazioni di routine per accordare la precedenza alle situazioni più difficili. 

Si sarebbe trattato allora di una variante del virus cryptolocker Wanna, lo stesso che aveva appena messo fuori uso le reti di Telefonica in Spagna e attaccato altre istituzioni in Russia, Ucraina e anche nel nostro Paese. Pare anche che gli hackers avessero chiesto un riscatto, ma non è mai stata nota l’entità della richiesta né se sia stata accolta.

In questo caso, però, è interessante notare come le motivazioni del garante portoghese siano particolarmente aderenti allo spirito del Gdpr, dal momento che riguardano un’infrazione di tipo organizzativo. 

Su segnalazione del personale medico dell’ospedale, che ha notato una serie di accessi non autorizzati ai dati dei pazienti da parte di altri dipendenti non sanitari, lo scorso aprile sono infatti partite le prime indagini su eventuali falle del sistema informatico. 

Il Cnpd ha quindi condotto un audit interno all’ospedale, verificando che ben 985 impiegati avevano accesso ai dati sensibili (incluse le informazioni sanitarie) dei pazienti, a fronte di un personale medico di appena 296 unità.

Com’è noto, perché vengano rispettate le disposizioni del Gdpr, soltanto il personale medico può accedere ai dati sensibili concernenti la salute dei pazienti, mentre in questa struttura il personale amministrativo di ogni livello poteva leggerne la gran parte, inclusi quelli confidenziali.

Pertanto, nello scorso dicembre, non avendo garantito controlli adeguati alla protezione delle informazioni sanitarie trattate, l’ospedale portoghese ha subìto una multa di 400mila euro. Una cifra cospicua, ma poteva andare anche peggio, dal momento che la massima sanzione prevista dal Gdpr ammonta a 20 milioni di euro o al 4% del giro d’affari globale.

Nelle strutture sanitarie vengono trattate molte categorie di dati, spesso gestite da più di un sistema informatico: dalla prenotazione, accettazione e dimissione del paziente, alla produzione di esami di laboratorio e diagnostica di ogni genere, all’erogazione di cure e prestazioni varie, fino all’effettiva gestione amministrativa dei servizi erogati. 

Essendo spesso installati in tempi diversi, raramente questi sistemi sono integrati fra loro, tuttavia gli utenti collegati possono avere la necessità di accedervi, per consultarli a vario titolo.

Il rispetto della normativa corrente sulla privacy impone ora una grande attenzione nella gestione di queste informazioni e ogni struttura ha l’obbligo di tenere costantemente sotto controllo le modalità di accesso ai dati da parte di tutto il personale, indipendentemente dalla mansione e dal ruolo di ciascuno. 

Soprattutto, è necessario rendere conto per iscritto delle procedure adottate, il che richiede un certo sforzo organizzativo e l’adozione di strumenti tecnologici in grado di garantire una protezione efficace, abbandonando il concetto comune in base al quale la sicurezza dei dati ostacolerebbe l’efficienza nella loro gestione.

Le misure organizzative in grado di supportare questi processi sono varie, dal controllo degli accessi ai locali ove sono conservati i documenti cartacei, all’obbligo di registrarsi per accedere alla consultazione degli archivi informatizzati, fino al tracciamento di tutte le operazioni effettuate su di essi, tramite identificazione edautenticazione degli utenti.

Ogni accesso dovrebbe essere autorizzato e dovrebbero essere presenti vari livelli di autorizzazione, in base alle mansioni effettivamente svolte.

Spesso non si tratta di strumenti o procedure costosi, ma è necessario del tempo per elaborarli e servono un’analisi e una conoscenza approfondita di ogni processo che impatti strutture altamente complesse come quelle cliniche.

La corretta gestione delle informazioni, insomma, non costituisce un problema insolubile, ma per essa occorre uno sforzo organizzativo tale da non consentire alibi o tentennamenti. Nel caso trattato, gran parte del personale dell’ospedale sanzionato accedeva ai dati personali e sensibili dei pazienti, pur non essendovi autorizzato, presumibilmente per l’assenza di una politica di risk management adeguata al tipo di rischio corso.

Veniva infatti constatata la mancanza di documenti o procedure nei quali fossero definiti i criteri per stabilire la corrispondenza tra le competenze funzionali degli utenti e i relativi profili di accesso, dal momento che nel corso dell’ispezione risultavano quasi 1.000 utenti ai quali era associato il profilo di accesso riservato ai medici, a fronte di soli 296 medici in servizio.

Il Garante ha quindi contestato la violazione del principio di minimizzazione (accesso indiscriminato ai dati personali dei pazienti, anche da parte di soggetti che non ne avrebbero avuto alcuna necessità per svolgere i propri compiti professionali), la violazione dei principi di integrità e riservatezza (mancata adozione di misure tecniche e organizzative per impedire l’accesso indiscriminato ai dati) e la mancata adozione da parte del titolare del trattamento di misure tecniche e organizzative adeguate al rischio e di procedure idonee a garantire un monitoraggio costante del sistema di trattamento dei dati.