A pochi giorni dalla piena applicazione del Regolamento Europeo 2016/679 (GDPR) particolarmente dibattuta si rivela ancora la precisa accezione del rischio cyber e la sua contestualizzazione nell’ambito delle misure adeguate richiamate dalla normativa europea. Mi è capitato di leggere che in ambito sanitario sarebbe sbagliato porre la questione in termini di cyber security, in quanto l’ospedale non è un’azienda, ma bisognerebbe piuttosto ricondurre la questione al c.d. “rischio clinico”, ossia “non nuocere al paziente”.
Il tema è particolarmente insidioso, specie ove ci si approcci ad una valutazione di vulnerabilità propedeutica all’adozione di misure (adeguate) di mitigazione del rischio.
Lo sviluppo delle interconnessioni di reti della Società dell’informazione e delle tecnologie pone in generale problemi di sicurezza che impongono a ciascun titolare del trattamento l’adozione di misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano compromettere il proprio patrimonio informativo e determinare le condizioni per una violazione dei diritti e delle libertà degli interessati. Il concetto di sicurezza informatica assume un significato permeante nel regolamento europeo n. 2016/679 (GDPR).
Le recenti vicende di cronaca specialistica ci hanno testimoniato che il fenomeno dei cyber attacchi è in costante e crescente evoluzione. Non vi è dubbio sul punto che la vera minaccia è cyber e la sua accezione comprende, in sé, una serie di settori di rischio che hanno comunque un comune denominatore: l’invisibilità di avversario che mette in campo tecniche sempre più sofisticate di attacco.
In ottica GDPR la compliance passa anche (e soprattutto) dalla capacità di una rete o di un sistema d’informazione di resistere, ad un dato livello di sicurezza, ad eventi imprevisti o atti illeciti o dolosi che minaccino di compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali trattati. Dunque, il titolare del trattamento o il responsabile del trattamento è chiamato a valutare anche (e soprattutto) il rischio informatico che, nella macro area della cyber minaccia, certamente include tutte le sottocategorie di rischio, incluso il c.d. “rischio clinico”.
A tal proposito, con la diffusione della Internet of Things svariati sono e saranno i rischi alla eHealth (ovvero i rischi cyber correlati ai device che si impiantano nei pazienti quali pacemakers, pompe di insulina o che espongono il paziente a compromissioni provenienti da remoto/tramite networking, sfruttando ad es. la tecnologia RFID. Il settore sanitario costituisce pertanto l’esempio per antonomasia delle problematiche connesse alla Cybersecurity (intesa come sicurezza nel contesto aumentato/multidimensionale del cyberspace), con l’aggravante che il “Value at Stake” da tutelare è l’incolumità fisica dell’interessato, piuttosto che la riservatezza in se stessa e/o il patrimonio informativo delle Aziende Sanitarie.
Ciò rientra evidentemente nel generale principio di accountability introdotto dall’art. 22, laddove si prescrive espressamente che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento e, più specificamente nell’art. 32 del Regolamento dove si declina la sicurezza del trattamento.