Sicurezza informatica e Privacy dei dati sanitari nelle ASL. La ricerca della Link Campus University

di |

Il presidente del Garante Privacy Francesco Pizzetti: ‘Nei nuovi processi di digitalizzazione della PA manca una visione completa di sistema, perché è inutile introdurre soluzioni avanzate senza aver prima dato il via ad un processo di innovazione’.

Italia


Francesco Pizzetti

Negli ultimi anni il settore della sanità nazionale è stato caratterizzato dalla diffusione crescente di soluzioni ICT (Information & Communications Technology) applicate ai principali processi di sistema, dalla gestione dei dati clinici e amministrativi, a quelli decisionali e più critici, quindi alla difesa dei dati e alla tutela della privacy. Si stima che gli investimenti in tecnologie digitali ed informatiche in tale settore (pubblico e privato) sfiorino i 900 miliardi di euro (2010), pur rimanendo sul tavolo problematiche di carattere organizzativo e di governance. Mercoledì 16 novembre è stata presentata all’Università Link Campus la seconda ricerca su ‘Sicurezza informatica e la privacy dei dati sanitari nelle ASL‘, condotta dal Centro Alta Tecnologia dell’istituto. Una ricerca che segue quella del 2006 e che ci consente, come ha evidenziato Raffaele Barberio direttore di Key4biz, moderatore dell’incontro, di esaminare il fenomeno sia da un punto di vista normativo nazionale, sia più ampio in sede europea, dove la privacy e la tutela dei dati personali occupano un posto di primo piano nell’agenda politica comunitaria.

 

La Link Campus University ha una forte vocazione alla ricerca e alla condivisione della conoscenza, anche in relazione allo sviluppo del settore e del mercato eHealth. Come ha spiegato Paolo Russo, Direttore Ufficio Relazioni Esterne e Istituzionali della Link Campus University: “E’ importante nei prossimi mesi focalizzare il passaggio dal concetto di cambiamento a quello di evoluzione. Oggi in Italia c’è bisogno di centrare l’attenzione proprio sull’evoluzione delle situazioni più critiche. L’argomento di cui ci siamo occupati in questa ricerca verte sulla sicurezza dei dati sanitari e sulla tutela della privacy del cittadino che nella società dell’informazione è al centro di nuovi processi di profilazione e di gestione di dati personali e sensibili. Per raggiungere tali obiettivi è fondamentale creare le condizioni affinché chi opera nell’eHealth possa lavorare nel migliore dei modi e all’interno di una cornice normativa chiara ed esaustiva“.

 

Il problema della sicurezza delle persone e della tutela della privacy deve divenire argomento di pubblico interesse. Per questo motivo la Link Campus University ha predisposto la nascita di un dipartimento di intelligence e security con base in Calabria per la diffusione di alcune best practice tra le aziende e gli enti pubblici che pongano in essere una riflessione aperta sui temi della sicurezza e della tutela dei dati personali. Un’iniziativa di interesse pubblico, visto che, come ha sostenuto Andrea Farina presidente di ITWay: “La spesa della Pubblica Amministrazione centrale e locale in sicurezza informatica è calata del 3,5% tra il 2005 e il 2011, portando il nostro paese su posizioni arretrate rispetto il resto dei partner europei. Si pensi che l’82% degli enti pubblici, ma anche privati, spende al massimo fino a 100 mila euro l’anno e il 55% meno di 50 mila euro l’anno“.

 

Nella presentazione della ricerca su sicurezza informatica e privacy dei dati sanitari nelle ASL, il responsabile di settore, Paolino Madotto, ha spiegato in che modo le Aziende Sanitarie Locali affrontano il problema sicurezza e privacy e con quali risultati. “Sono state 146 le ASL che hanno risposto al questionario inviato – ha illustrato Madotto – nel 2008 si sono spesi mediamente 18 mila euro in eHealth per cittadino. Al Sud ogni ASL deve servire in media 500 mila cittadini, contro i 363 mila del Nord Italia. La spesa media nazionale in IT è di 2,5 milioni per azienda, mentre per ogni cittadino si aggira sui 18 euro, contro i 60 euro procapite nel Regno Unito“.

 

Una geografia degli investimenti in ICT sanitaria che evidenzia sostanzialmente una spesa crescente in tecnologia e una più contenuta relativa ai processi e alla formazione delle persone. Due dati che diversi speaker intervenuti alla presentazione hanno avuto modo di sottolineare come decisivi nell’evoluzione futura dei livelli di sicurezza dei dati personali e della tutela della privacy. “Si investe soprattutto in cartelle cliniche elettroniche e processi di dematerializzazione, ma non in sicurezza – ha precisato il responsabile della ricerca – che vede una spesa estremamente limitata che va da 0,12 euro a 24 euro. C’è poi da considerare che il 78% delle ASL si rivolge all’esterno nella gestione dei dati personali, cosa che abbassa di molto la soglia di sicurezza aumentando di contro i rischi di violazione dei sistemi e di sottrazione di informazioni sensibili“. Esaminando poi i livelli di informatizzazione delle strutture sanitarie locali, Madotto ha verificato che: “Il 45,2% delle ASL ha affermato di avere approntato piani di business continuty per far fronte ad emergenze di varia natura; solo il 13% ha personale preparato per far fronte a tali condizioni di emergenza e solo il 65% ha dato inizio a programmi di formazione dedicati alla sicurezza delle informazioni. Se poi si chiede quante aziende realmente hanno la possibilità di sfruttare delle unità secondarie per il recupero dei dati si scende al 55% e solo il 23% è in grado di recuperare tali dati in poche ore“.

 

Le conclusioni della ricerca sono piuttosto allarmanti, perché ciò che emerge è una sostanziale inadeguatezza di personale e di organizzazione nel far fronte a situazioni di emergenza, come nel caso di disastri naturali e di attacchi informatici, mentre i livelli di sicurezza riscontrati sono davvero bassi e facili da aggirare. L’ICT sta penetrando nella struttura sanitaria nazionale, ma lentamente e in maniera disomogenea, ha dichiarato Augusto Battipaglia, ex Assessore alla Sanità della Regione Lazio: “Lo si vede nell’introduzione di nuovi sistemi di gestione e trasferimento dati, nella telemedicina e nell’interazione paziente-device-personale medico. Il problema è che tale processo di informatizzazione è ancora poco organizzato e lungimirante, visto che la popolazione italiana ed europea è in fase di invecchiamento di massa e presto avremo molte persone in età avanzata che saranno sottoposte a monitoraggio clinico da remoto. Fatto questo che aumenterà notevolmente il traffico di dati relativi alla persona, con la necessità di adeguare a tale flusso di dati un livello elevato di sicurezza e tutela della privacy“.

 

Oltre al problema più prettamente tecnico ed organizzativo c’è anche una criticità di tipo politico e di governance del fenomeno. Secondo Alberto De Santis, presidente di Anaste e Federsalute: “Si deve da una parte razionalizzare le spese e dall’altra procedere all’ottimizzazione delle risorse in campo sanitario. Nei prossimi anni la spesa sanitaria nazionale subirà tagli consistenti, ecco allora che l’ICT può venirci incontro con la possibilità di seguire i pazienti da casa, una volta dimessi, senza l’ingombro del soggiorno in ospedale o in altre strutture. Serve però una maggiore coscienza dell’opportunità che le nuove tecnologie ci danno e una maggiore attenzione alla formazione del personale e alla diffusione della cultura digitale tra le masse, dove il numero degli anziani è in forte aumento“.

 

Entro la fine dell’anno in corso ci saranno in circolazione nel mondo circa 25 miliardi di device di connessione alla rete – ha evidenziato Paolo Passeri, CTO presso Business-e – cosa questa che determinerà un aumento esponenziale del traffico dati e di conseguenza un incremento di pericoli per il cittadino utente di internet e delle reti di comunicazione. Ciò che serve subito è una maggiore attenzione a tali rischi digitali, in termini di cultura e di processo“. “I servizi sanitari sono sempre più personalizzati e basati su una profilazione dettagliata dell’utente che consente tutta una serie di applicazioni sanitarie avanzate ed innovative – ha invece sostenuto Maurizio Talamo, professore all’Università di Tor Vergata – il problema è che le risorse sono mal distribuite e invitare a dematerializzare e informatizzare gli apparati senza sapere cosa farne dei dati ottenuti è un esempio di cosa significa non aver prima investito nell’organizzazione dei processi, invece che in tecnologie di processo. Servono regole chiare e definite che sappiano indirizzare il lavoro delle pubbliche amministrazioni verso gli obiettivi di sistema più immediati. Il Garante della Privacy fin’ora ha fatto bene, svolgendo un ruolo chiave nella definizione di un quadro efficace di tutela della privacy e della sicurezza dei dati, soprattutto in un contesto in cui si chiede che i dati siano da una parte difesi e dall’altra resi accessibili a più soggetti“.

 

E proprio sull’accessibilità dei dati Fabrizio Cirilli di TUV Italia ha sottolineato come i pericoli della social engineering e del cyber crime siano due elementi su cui le autorità devono assicurare massima sorveglianza, perché pericoli reali e concreti, che spesso sono sottovalutati da coloro che sono preposti al controllo: “C’è da pensare ad un’organizzazione delle strutture assolutamente più evoluta di quella attuale. Le aggressioni digitali ed informatiche sono certamente in aumento e i data base istituzionali sono obiettivi primari per i criminali che operano sul web. Ecco perché la certificazione dei sistemi è un momento importante in un’organizzazione, perché consente di verificarne il livello di sicurezza e di efficienza, due punti fondamentali per far fronte a qualsiasi minaccia esterna“.

 

In conclusione di convegno è intervenuto il presidente dell’Autorità Garante della Privacy, Francesco Pizzetti, che in maniera molto chiara ha definito il campo di intervento dell’Autorità e criticato alcune impostazioni di policy in Italia ed in Europa in relazione alla tutela della privacy e di sicurezza informatica applicate all’eHealth. “Il concetto di diritto alla salute non è sempre riconducibile a parametri di sicurezza che vanno dal singolo cittadino all’intera struttura – ha spiegato Pizzetti – Il Garante interviene in tutti i settori, pubblici e privati, nei quali occorre assicurare il corretto trattamento dei dati e il rispetto dei diritti fondamentali delle persone, ma bisogna dividere i livelli di intervento, scendere nel dettaglio per comprendere come funzionano alcuni processi oggi divenuti improvvisamente attuali e di primaria importanza. Il consenso informato al cittadino tutela la privacy di quest’ultimo solo in generale, non nello specifico. Sulle autorità stanno gravando dei compiti che esulano dalle normali competenze. I cittadini possono essere informati sui rischi relativi ad un determinato comportamento e sul modo in cui i dati personali vengono gestiti, ma non si arriva allo specifico e comunque non basta il consenso per assicurarsi un trattamento delle informazioni, che noi consegnamo a terzi, nel rispetto scrupoloso delle regole, anche perché mancano le evidenze dei pericoli in cui si può incappare. Nel caso dei nuovi processi di digitalizzazione della PA, voluti dall’ex ministro Renato Brunetta, posta la buona fede e la condivisione delle finalità, manca una visione completa di sistema, perché è inutile introdurre soluzioni avanzate senza aver prima dato il via ad un processo di innovazione di sistema, senza aver prima prodotto delle specifiche definite sulle modalità di intervento scelte o senza prima aver provveduto ad una maggiore diffusione di conoscenze e competenze tecniche e tecnologiche. Se non si conoscono i processi si rischia di mette a repentaglio la sicurezza delle strutture“.

 

“Il nostro ritardo è quindi culturale e giuridico, oltre che tecnologico – ha concluso Pizzetti – l’arrivo in massa di un numero elevato di apparecchi multifunzionali e in grado di connettersi alla rete per diversi tipi di utilizzi e finalità, ha determinato per l’Unione Europea tutta una serie di criticità di tipo regolatorio e allo stesso tempo sociali. Se non ci si mette d’accordo con i fornitori di tali device sul tipi di utilizzo che in Europa è concesso è inutile cercare a posteriori di limitarne i danni in termini di privacy e di violazione dei sistemi di sicurezza. Il cloud computing è un nuovo fenomeno che rientra in questo tipo di analisi e che, viste le sue potenzialità sul mercato, deve essere affrontato con la massima attenzione, in termini di regolazione e di governance“.

Leggi le altre notizie sull’home page di Key4biz