Articoli

Quanto valgono i nostri dati sanitari?

Avv. Vincenzo Colarocco

Un recente ricerca pubblicata da Carbon Black, società Usa che sviluppa software con l’obiettivo di proteggere le organizzazioni dagli attacchi informatici, ha svelato come nel mirino dei cyber-attacchi ci siano i dati sanitari. Nel 2018, il numero di casi censiti a livello globale, orientati soprattutto a finalità di cybercrime e di furto di dati personali, è aumentato del 99% rispetto al 2017.

Il furto del dato sanitario consente ai pirati informatici di raccogliere informazioni sempre più personali degli utenti e di realizzare profili sempre più fedeli al fine di colpirli con specifiche iniziative illecite. A prescindere dalla truffa, però, si ricordi che la violazione del dato sanitario può tradursi in una lesione della riservatezza dell’interessato, il quale potrebbe aver scelto di tenere per sé le informazioni sul suo stato di salute, senza contare le ripercussioni in termini di discriminazione che potrebbero prodursi socialmente. Ma non è tutto.

Sembra che a valere di più nel mercato nero siano i dati dei medici, venduti anche per 500 dollari, intendendosi per tali i certificati di laurea in medicina, documenti amministrativi e ogni altro attestato che l’acquirente può utilizzare per spacciarsi per il dottore in questione e commettere frodi ai danni, ad esempio, del sistema assicurativo. Gli hacker, infatti, una volta impossessatisi dei dati dei professionisti sanitari, possono utilizzarli per creare delle false ricette mediche, in poche parole per sostituirsi a questi, con ogni conseguente rischio per i pazienti interessati.

A fronte di tale evidenza, il tema vero è quello della vulnerabilità delle strutture sanitarie: questi studi hanno infatti testato l’estrema facilità con cui si riesce a compromettere i sistemi informatici. In Italia, in particolare, manca trasparenza in merito alle misure di sicurezza, tecniche ed organizzative, adottate per garantire un adeguato livello di efficienza dei sistemi e l’adeguamento delle aziende sanitarie al GDPR è stato erroneamente interpretato come un requisito di forma.

Sul punto, e sulla criticità del tema, si è espresso anche il Garante per la protezione dei dati personali nell’ultima relazione annuale: “La carente sicurezza dei dati sanitari e dei sistemi che li ospitano può rappresentare una causa di malasanità”, ha avvertito Soro.

Dati sanitari: pubblicate le nuove linee guida del Consiglio d’Europa

Avv. Vincenzo Colarocco

Il Consiglio d’Europa, con una raccomandazione adottata lo scorso 27 Marzo[1] (in seguito la “Raccomandazione”), ha fornito una serie di linee guida per i 47 Stati membri con l’intento di guidare i medesimi nel corretto trattamento dei dati sanitari.

Chiara intenzione del succitato organismo è quella di esortare i Paesi Europei a garantire, nel diritto e nella pratica, che l’elaborazione di tali categorie particolari di dati ai sensi dell’art. 9 del Regolamento UE 679/2016 (“GDPR” o “Regolamento”) venga posta in essere nel pieno rispetto dei diritti umani in un particolare momento storico caratterizzato dal crescente utilizzo di nuove tecnologie[2]. Proprio tale presupposto comporta la necessità di impostare il trattamento considerando i capisaldi della privacy by design e della privacy by default posti alla base del Regolamento, nonché le previsioni di cui all’art. 32 del GDPR. Pertanto, le misure di protezione da attuarsi dovrebbero essere incorporate sin dalla fase di progettazione di qualsiasi sistema di informazione che elabora dati relativi alla salute. In più, al fine di ulteriormente vedere attuati tali principi, la Raccomandazione precisa che il rispetto delle dette previsioni dovrebbe essere regolarmente rivisto durante l’intero ciclo di vita del trattamento e che il titolare deve effettuare, prima di iniziare il trattamento e a intervalli regolari, una valutazione del potenziale impatto in termini di protezione dei dati e rispetto della privacy, comprese le misure volte a mitigare il rischio.

La Raccomandazione, poi, pone alcune interessanti precisazioni in merito alle base giuridiche che potrebbero legittimare il trattamento dei dati sanitari. Infatti, dopo aver previsto che alla base del detto trattamento sussista il consenso informato dell’interessato (in linea con quanto previsto ai sensi dell’art. 9 del GDPR), si prevedono, alternativamente, due ulteriori situazioni che sembrerebbero quindi escludere la preventiva raccolta di un consenso:

  1. i) quando il trattamento è necessario per l’esecuzione di un contratto stipulato dall’interessato con un operatore sanitario soggetto a condizioni definite dalla legge, compreso l’obbligo di segretezza;
  2. ii) quando tali dati sono stati resi manifestamenti pubblici dall’interessato stesso.

Con riferimento alle tempistiche di conservazione (c.d. “retention”) da applicarsi alla categoria dei dati sanitari, la Raccomandazione prevede che, purché dietro predisposizione di misure di sicurezza adeguate, la retention possa dilatarsi[3] qualora si preveda un trattamento per finalità di archiviazione nell’interesse pubblico o per scopi scientifici o storici o, ancora, di ricerca e statistica. In questo caso i dati dovrebbero, in linea di principio, essere resi anonimi non appena la ricerca, l’attività di archiviazione o lo studio statistico lo consentano; qualora tanto non fosse possibile, si potrebbe ricorrere alla pseudonimizzazione per salvaguardare i diritti e le libertà fondamentali dell’interessato.

Appare in conclusione evidente come la Raccomandazione segua quasi pedissequamente le prescrizioni di cui al GDPR, resta in ogni caso da segnalarsi come le indicazioni fornite appaiano estremamente attuali e pertinenti stante la sussistenza di una crescente digitalizzazione che, seppur evidentemente foriera di un miglioramento delle cure mediche e dell’assistenza al paziente, comporta, inevitabilmente, un aumento esponenziale della quantità di dati sanitari soggetti ad operazioni di trattamento e, per l’effetto, la necessità di applicare misure legali e tecniche che consentano un’efficace protezione di ogni individuo.

 

[1] Rinvenibile al seguente URL: https://search.coe.int/cm/pages/result_details.aspx?objectid=090000168093b26e.

[2] La Raccomandazione in esame delinea anche una serie di indicazioni per quanto attiene al trattamento di dati sanitari raccolti mediante dispositivi mobili che, impiantati nell’individuo o meno, possano rivelare informazioni sul suo stato fisico o mentale, o abbiano ad oggetto qualsiasi informazione riguardante le prestazioni di assistenza sanitaria e di assistenza sociale.

[3] Pertanto superando le tempistiche di conservazione strettamente necessarie al perseguimento della finalità di cura e assistenza del paziente interessato.

Al via la fatturazione elettronica ma ancora riserve sulla protezione dei dati personali

Avv. Vincenzo Colarocco

Dal primo gennaio la Legge di Bilancio 2018 ha introdotto l’obbligo della fatturazione elettronica, anche nelle relazioni commerciali tra soggetti passivi Iva privati (aziende e professionisti) e verso i consumatori finali. In particolare, per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato dovranno essere emesse, utilizzando il Sistema di Interscambio (SDI), esclusivamente fatture elettroniche in formato XML, già in uso per le fatture della P.A.. I soggetti passivi IVA dovranno trasmettere telematicamente all’Agenzia delle Entrate i dati relativi alle operazioni di cessione di beni e di prestazione di servizi effettuate e ricevute verso e da soggetti non stabiliti nel territorio dello Stato, salvo quelle per le quali è stata emessa una bolletta doganale e quelle per le quali siano state emesse o ricevute fatture elettroniche secondo le modalità del Sistema di Interscambio. La trasmissione telematica dovrà essere effettuata entro l’ultimo giorno del mese successivo a quello della data del documento emesso ovvero a quello della data di ricezione del documento comprovante l’operazione. Restano esonerati solo i soggetti passivi che rientrano nel c.d. “regime di vantaggio” e quelli che applicano il regime forfettario.

La modifica è di grande portata, poiché l’adempimento interesserà la maggior parte delle partite IVA, con conseguente trasmissione in digitale di un ingente numero di documenti e rischi relativi.

Oltre ai timori che il sistema di interscambio possa subire crash informatici, con dispersione dei dati, il Garante della privacy è intervenuto in diverse occasioni sollevando dubbi e rilevando criticità.

Con articolato provvedimento del 20 dicembre scorso, il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle Entrate possa avviare i trattamenti di dati connessi al nuovo obbligo.

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio, avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche che contengono informazioni di dettaglio, non rilevanti a fini fiscali, sui beni e servizi acquistati come le abitudini e le tipologie di consumo legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di fattura prevede, invece, che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es. incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie saranno esclusi dall’obbligo di emettere fattura elettronica.

Al fine di prevenire trattamenti impropri dei dati, il Garante ha avvertito tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione. Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sulla protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.