Come proteggere i dati online? Scopri alcuni consigli utili

Tra i valori fondanti dell'Ordine Ospedaliero Fatebenefratelli si ha il Rispetto: la vita dell'essere umano è sacra e inviolabile. Nel nostro agire quotidiano, infatti, operiamo con onestà e trasparenza verso i nostri Ospiti e le loro Famiglie. 

La tutela della privacy è un tema percepito come sempre più importante da parte della popolazione e dell'agenda politica. Specialmente in ambito sanitario, a seguito della crisi pandemica e del diffondersi della telemedicina, si è posta maggiore attenzione alla sicurezza dei propri dati online. In occasione del Data Protection Day, ricostruiamo alcuni passaggi chiave della nostra legislazione capendo quali sono i nostri diritti grazie al supporto del nostro Team DPO. 

In questo articolo parleremo di

- Tutela della privacy a livello europeo e italiano: la legge 675 e il GDPR

- Il GDPR e la protezione dei dati sanitari

- Il ruolo del DPO: valutare la correttezza del trattamento dei dati 

- Cosa significa proteggere i dati?

- Violazione della privacy: come porre rimedio

- Consigli per proteggere i propri dati dal telefono e dal computer

- Le iniziative dell'Ordine Ospedaliero Fatebenefratelli per il Rispetto per la privacy delle Persone

Tutela della privacy a livello europeo e italiano: la legge 675 e il GDPR

In Europa, il primo elemento giuridico emanato a favore della tutela dei dati personali è la Direttiva n. 46 del 24 ottobre 1995. Si tratta della prima Direttiva europea in tema di privacy che si pone il problema di garantire la protezione dei dati e della corrispondenza online.

In Italia la Direttiva venne recepita con la Legge 675 del 31 dicembre 1996. Ma quali novità portò con sé? Tra quelle più correlate all'ambito sanitario si citano:

• la distinzione tra dati personali e sensibili. I dati personali permettono di comprovare l’identità di una persona ma non di conoscerla nella sua personalità. I dati sensibili, invece, giovano di una protezione maggiore in quanto permettono di definire un profilo di personalità dell'utente;
  
• la dichiarazione di consenso. L'utente, firmando il consenso, autorizza al trattamento dei dati.

Tale legge fu poi aggiornata da successive normative che furono, in ultima istanza, arricchite dal recepimento del GDPR - General Data Protection Regulation. Quali sono le motivazioni alla base di questo nuovo Regolamento?

"In un’epoca caratterizzata dall’incalzante evoluzione tecnologica e dall’aumento dei flussi transfrontalieri di dati, la tutela dei dati personali è divenuta di fondamentale importanza. Tale evoluzione ha sottolineato la necessità di avere un quadro comune, più solido e coerente poiché la compresenza di livelli differenti di protezione dei diritti e delle libertà delle persone fisiche stabiliti da ciascuno stato membro ostacolava la libera circolazione dei dati personali all’interno dell’Unione." spiega il Team DPO.

Il legislatore europeo, quindi, con l’introduzione del GDPR ha voluto armonizzare e uniformare la normativa a livello europeo, creando un quadro legislativo comune con l’intento da un lato di proteggere i dati personali e dall’altro di consentirne quindi una libera circolazione a fronte di un’adeguata protezione, rispondendo alle sfide derivanti dalle nuove tecnologie.

"Per questo che la normativa non è una normativa rigida e prescrittiva, ma si presta ad essere declinata caso per caso in termini di adeguatezza al contesto, sapendo in tal modo accogliere i cambiamenti e le evoluzioni che il mondo propone." conclude il Team.

Il GDPR e la protezione dei dati sanitari

Alla base del GDPR si trovano molti principi propri della Direttiva europea del 1995.

"In base ai principi di liceità, correttezza e trasparenza, il Titolare del trattamento deve fondare i propri trattamenti di dati personali su una base di liceità tra quelle previste dalla normativa (come ad esempio l’esecuzione di un contratto o il consenso) e portare a conoscenza dell’interessato le finalità e le modalità di trattamento degli stessi, accertandosi di raccogliere e trattare solo ed esclusivamente i dati personali strettamente necessari al perseguimento delle finalità indicate che devono essere quindi determinate, esplicite e legittime (principi di limitazione delle finalità e di minimizzazione dei dati)." dettaglia il Team DPO. 

Pertanto, il Titolare deve garantire che tali dati siano sempre esatti e aggiornati, secondo il principio di esattezza, dando la possibilità ai soggetti interessati di rettificare i propri dati nonché di poterli cancellare. È altresì necessario prevedere un tempo definito in cui i dati potranno essere conservati alla conclusione del quale sarà compito del Titolare cancellare i dati non più utili al perseguimento delle finalità, in coerenza con quanto previsto dal principio di limitazione della conservazione.

"Infine, uno dei principi cardini introdotti dal GDPR è il principio di accountability. L’accountability è una vera e propria sfida per i titolari del trattamento poiché richiede un significativo cambio di approccio: al Titolare del trattamento, infatti, non viene solamente richiesto solo di garantire la conformità della propria organizzazione alla normativa data protection, ma anche di essere in grado di dimostrare tale conformità, documentando che le decisioni prese nell’ambito dell’autonomia lasciatagli dalla normativa siano effettivamente coerenti e adeguate alla situazione di specie." aggiungono.

Ma quali sono gli articoli in cui vengono tutelati i dati relativi alla salute?

All'interno del GDPR, l'articolo 4 definisce i dati relativi alla salute come di seguito: "attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute".

Il Considerando 35, inoltre, specifica che:

"Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso". Sono quindi informazioni che appartengono alla più vasta categoria dei dati soggetti a trattamento speciale (art. 9 GDPR) poiché possono rivelare dettagli molto personali del paziente.

Il ruolo del DPO: valutare la correttezza del trattamento dei dati 

La Provincia Lombardo Veneta ha nominato la società Partners4Innovation come Data Protection Officer (DPO): una figura introdotta nel panorama normativo italiano con il Regolamento sulla Protezione dei Dati Personali 679/2016 (“GDPR”) e alla quale il GDPR assegna compiti riconducibili soprattutto a finalità di:

• controllo dell’applicazione del Regolamento stesso,
• punto di contatto per l’Autorità di controllo e per i soggetti interessati (ossia le persone fisiche i cui dati personali vengono trattati da Fatebenefratelli), 
• consulenza in merito a questioni inerenti al trattamento dei dati personali.

Il ruolo del DPO è quindi un ruolo di presidio delle tematiche privacy-data protection. Il nostro Ordine Ospedaliero viene avvisato e coinvolto, ad esempio, nell’ambito di nuove iniziative che riguardano il trattamento di dati personali dei Pazienti.

"In particolare ciò avviene quando il trattamento prevede l’utilizzo di nuove tecnologie per cui è necessario venga effettuata un’attenta valutazione rispetto a come tale trattamento incide ed impatta sui diritti e sulle libertà degli interessati. La nostra posizione è quindi una posizione di garanzia volta a tutelare tanto il Titolare quanto gli interessati, controllando che tutto venga svolto nel rispetto di quanto previsto dalla normativa privacy data-protection di tempo in tempo applicabile." spiega il Team DPO.

Cosa significa proteggere i dati?

Proteggere i dati personali significa tutelare i diritti e le libertà dei soggetti cui i dati personali si riferiscono. Soprattutto al giorno d’oggi, dove mondo reale e mondo digitale si sovrappongono sempre di più, proteggere i dati personali significa saper assicurare che la sfera personale di ciascuno di noi - sia essa fisica o virtuale - sia opportunamente tutelata e garantita.

"Proteggere i dati personali, in altri termini, significa sicuramente garantirne la riservatezza, ma non solo: significa anche adottare adeguate misure di sicurezza tanto tecniche quanto organizzative volte a garantire disponibilità ed integrità, esattezza ed aggiornamento. Significa essere sempre consapevoli di come vengono utilizzati i dati, da chi e par quali scopi." aggiunge il Team DPO.

Maggiore consapevolezza è necessaria anche da parte degli interessati: è di fondamentale importanza, infatti, che gli utenti siano consapevoli dei rischi, delle minacce e delle frodi di cui possono essere vittime.

"Nella vita quotidiana, è opportuno che tutti noi mettiamo in atto quegli accorgimenti minimi che ci consentono di tutelare i nostri dati. Su questi e molti altri consigli, il nostro Garante Privacy ha avviato una campagna di comunicazione istituzionale con l’obiettivo di promuovere i temi della protezione dei dati, della privacy e dell’educazione digitale." spiegano.

Violazione della privacy: come porre rimedio

Saper gestire in modo corretto una violazione di dati personali (data breach) è fondamentale per qualsiasi Titolare del trattamento. La tematica può essere approfondita da un duplice punto di vista.

1. In termini sostanziali, di merito: in ragione delle ricadute che la violazione potrebbe arrecare ai diritti e alle libertà degli interessati è essenziale saper valutare in modo corretto il data breach, prendendo tutte le contromisure necessarie caso per caso.
2. In termini procedurali, di processo: la normativa obbliga il Titolare, qualora ricorrano determinate condizioni, a notificare all’autorità Garante l’avvenuto data breach entro 72 ore dal momento in cui il titolare ne è venuto a conoscenza, pena l’applicazione di sanzioni amministrative. 

"Nasce dunque la necessità di essere tempestivi, reattivi, di saper intercettare, riconoscere, individuare e indirizzare nella maniera corretta una violazione di dati personali. È necessario che tutta l’organizzazione interna del Titolare sappia come muoversi al verificarsi di un data breach, così da poter permettere le valutazioni puntuali del caso di specie e, quindi, il rispetto dei termini perentori previsti dalla normativa." sottolinea il Team DPO.

L’adozione di procedure aziendali, una continua e costante formazione sulle tematiche data protection sono sicuramente due misure organizzative che il Titolare ha a disposizione per poter garantire una corretta gestione dei data breach.

Consigli per proteggere i propri dati dal telefono e dal computer

Sebbene vi siano diverse leggi italiane ed europee volte alla tutela dei dati e alla punizione di eventuali infrazioni, sempre più spesso si sente parlare di frodi online. Per questo, proponiamo alcuni consigli per prevenirle.

1. Non farsi indurre con l’inganno a fornire informazioni riservate. In questo senso, occorre evitare di rispondere a email, sms o telefonate che invitano a fornire informazioni confidenziali.
   
   
2. Non fidarsi di email e link sospetti. Gli hacker si appropriano di elenchi di email al fine di inviare comunicazioni false provenienti da “persone reali”. Per questo occorre eliminare sempre le email sospette ricevute da mittenti sconosciuti evitando di cliccare sui link o di scaricare gli allegati.
   
   
3. Bloccare il computer e il telefono quando non sono utilizzati. Bloccare i vari dispositivi permette che le informazioni personali e i dati siano al sicuro da terzi.
   
   
4. Non usare un computer o un telefono senza protezione. Così facendo si mettono a rischio i dati visualizzati: esistono infatti software malevoli che consentono agli hacker di spiare l'attività di chi è online quando accede a siti senza difese. 
   
   
5. Utilizzare delle password di accesso. In questo modo i dispositivi saranno protetti dall'uso di terze persone. Allo stesso tempo è possibile proteggere anche singoli documenti o file.
   
   
6. Impostare password difficili da dedurre. Spesso, vengono impostate password molto comuni come “password"; il proprio nome e la data di nascita, e in alternativa quella dei famigliari più prossimi, oppure sequenze di caratteri vicini sulla tastiera, come “zaq12wsx”.
   Ottimale è invece la creazione di password complesse composte da lettere maiuscole e minuscole, numeri e punteggiatura.
   
   
7. Impostare password diverse a seconda delle app e dei siti. Così, se uno di essi dovesse essere violato, gli altri account resteranno al sicuro.
   
   
8. Non lasciare esposte informazioni di natura sensibile. Evitare di tenere nel portafogli o nelle borse dei post-it o dei piccoli fogli di carta con le password o i dati di accesso a siti privati.
   
   
9. Tenere spento il Bluetooth. Gli hacker possono entrare nei dispositivi attraverso la connessione Bluetooth: per questo si consiglia di mantenere il Bluetooth disattivato quando non è necessario.
   
   
10. Non usare reti Wi-Fi libere. Tali connessioni possono rendere i dati molto vulnerabili in quanto si tratta di reti non crittografate.
    
    
11. Programmare backup periodici su dispositivi esterni. Eseguire il backup dei dati su un hard disk esterno è molto importante anche per proteggere i dati qualora i dispositivi fossero attaccati da un ransomware (un programma informatico malevolo che può bloccare l’accesso ai contenuti di un dispositivo) tramite cui gli hacker possono tenere in ostaggio i dati chiedendo un riscatto.
    
    
12. Fare attenzione a ciò che si condivide sui social media. Prima di procedere alla pubblicazione di una foto o di un video sui social occorre assicurarsi di non mostrare dati personali anche attraverso QR Code o stringhe di testo. Un esempio lampante è stata la condivisione, da parte di molti utenti, del proprio Greenpass durante la crisi pandemica: pubblicando il suo ottenimento, senza oscurare il QR Code, altri utenti hanno potuto inquadrarlo e scoprire tutti i dati personali del soggetto.

Le iniziative dell'Ordine Ospedaliero Fatebenefratelli per il Rispetto per la privacy delle Persone

La Provincia Lombardo-Veneta, con l’obiettivo di conformarsi ai dettami del GDPR e minimizzare i rischi di non conformità, ha adottato comportamenti proattivi, sviluppando nel corso di questi anni una serie di attività volte a soddisfare i requisiti legali, tecnici ed organizzativi del Regolamento.

Considerata la differente complessità organizzativa, i differenti ambiti operativi delle Strutture della Provincia Lombardo-Veneta, la stessa ha definito un "Modello Organizzativo data protection" che individua specifici ruoli e responsabilità di tutti gli attori coinvolti nella governance della protezione dei dati.

Tale Modello Organizzativo si declina poi in specifiche procedure volte alla gestione di specifici ambiti e adempimenti data protection, come ad esempio, la Gestione dei diritti degli interessati o la Gestione dei Data Breach. Sempre più frequenti sono state anche le azioni volte a sensibilizzare la popolazione aziendale e gli interessati, all’insegna di una maggiore awarness di tutto il personale in merito al trattamento dei dati personali.

Infatti, la Provincia Lombardo-Veneta dell'Ordine Ospedaliero Fatebenefratelli ha adottato delle linee guida che riprendono le indicazioni dettate dal Garante Privacy nell'ambito del trattamento dei dati dei Pazienti come, ad esempio, le indicazioni in merito alla garanzia della dignità del Paziente. 

Scopri di più sull'Ordine Ospedaliero Fatebenefratelli!