2023: il furto di pc e dati sensibili dei pazienti dell’Ospedale Civico di Palermo e il cloud!
Di Redazione Open Data Sicilia | 19 giugno 2023
0Il 16 giugno 2023 online si legge la notizia: “Palermo, rubati al Civico i computer con i dati su pazienti, terapie, concorsi e gare d’appalto” (https://palermo.gds.it/articoli/cronaca/2023/06/16/palermo-rubati-al-civico-i-computer-con-i-dati-su-pazienti-terapie-concorsi-e-gare-dappalto-31803c02-a1eb-4c64-b4fb-284dfa3d63e8/).
Sono stati rubati anche dati che riguardano pazienti, terapie, concorsi e gare d’appalto.
Dati sensibili e di privacy
I dati sui pazienti sono classificati come dati di tipo:
- sensibili, in quanto riguardano le patologie e terapie specifiche delle persone assistite dall’Ospedale;
- di privacy, in quanto riguardano nomi, cognomi, indirizzi, numero di telefono, ecc.
I dati di privacy e i dati sensibili (soprattutto nell’ambito della sanità pubblica) sono ritenuti come molto importanti, e la tutela degli stessi è regolamentata dal Regolamento Europeo denominato GDPR 2016/679 che vige anche in Italia.
La violazione di dati personali, attraverso il furto di un PC, rappresenta un “data breach” secondo il regolamento europeo. Si tratta di un evento di una certa gravità nell’ordinamento democratico e normativo italiano.
Cosa è una violazione di dati personali (Data Breach)?
E’ una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Questa è la definizione che viene data in merito al “data breach” nel sito istituzionale del Garante della Privacy. Al data breach segue una comunicazione (entro 72 ore dall’accaduto) al Garante Privacy da parte del titolare del trattamento dati personali violati (Ospedale Civico in questo caso) secondo le modalità riportate sul sito istituzionale del Garante.
Come si previene la violazione dei dati personali?
La tecnologia della comunicazione e dell’informazione mette da anni a disposizione delle aziende e delle pubbliche istituzioni specifici servizi e strumenti atti ad evitare eventi come quelli registrati all’Ospedale Civico di Palermo nel giugno 203.
Il Cloud
In primis sono disponibili i servizi di “cloud”, servizi di gestione e conservazione informatica di dati su server resi estremamente sicuri da parte di aziende che lavorano esclusivamente nel settore di prevenzione del crimine informatico. Il ricorso ai servizi di cloud è ormai in uso da anni da parte di cittadini, aziende private e pubbliche amministrazioni. Soprattutto per le pubbliche amministrazioni è inevitabile il ricorso a servizi di cloud hosting in quanto per competenza istituzionale viene trattata una mole enorme di dati personali e sensibili. Si pensi soprattutto a:
- comuni, che gestiscono dati di anagrafe, stato civile, elettorali, edilizia privata, pubblica istruzione, attività produttive, ecc.
- ospedali, che gestiscono dati dei pazienti, con le patologie, le cure.
- INPS / INAIL / Agenzia Entrate / ecc., amministrazioni centrali che gestiscono dati fiscali, di welfare, di infortuni, ecc.
Il cloud è rappresentato da un sistema di server che conservano i dati in maniera ridondata, in maniera tale che se un server dovesse non funzionare per qualche ragione, gli altri server collegati sono in grado di rendere disponibile la consultazione, gestione e aggiornamento dei dati.
I servizi di cloud sono erogati da Aziende ICT nel pieno rispetto degli standard di sicurezza del settore. Affidarsi ai servizi di cloud oggi rappresenta una scelta “obbligata” ai fini della tutela dei dati soprattutto per le pubbliche amministrazioni.
Il Piano Triennale dell’Informatica per le pubbliche amministrazioni.
L’Agenzia per l’Italia Digitale (alle dirette dipendenze della Presidenza del Consiglio dei Ministri) prevede che tutte le pubbliche amministrazioni adottino il Piano Triennale dell’Informatica secondo uno schema prestabilito attuando azioni precise e concrete.
Il capitolo 4 del Piano prevede che le pubbliche amministrazioni debbano gestire i propri dati in infrastrutture informatiche sicure.
Molte infrastrutture della PA risultano prive dei requisiti di sicurezza e di affidabilità necessari e, inoltre, sono carenti sotto il profilo strutturale e organizzativo. Ciò espone il Paese a numerosi rischi, tra cui quello di interruzione o indisponibilità dei servizi e quello di attacchi cyber, con conseguente accesso illegittimo da parte di terzi a dati (o flussi di dati) particolarmente sensibili o perdita e alterazione degli stessi dati.
Nel settembre 2021, il Dipartimento per la Trasformazione Digitale e l’Agenzia per la Cybersicurezza Nazionale (ACN) hanno pubblicato il documento di indirizzo strategico sul cloud intitolato “Strategia Cloud Italia” che contiene le direttrici che le pubbliche amministrazioni devono seguire per tutelare in maniera efficace i dati che gestiscono.
Nel cap. 4 del Piano è previsto che le amministrazioni impegnate nel processo di migrazione al cloud possono avvalersi dei seguenti strumenti finanziari:
- i finanziamenti previsti nel PNRR (PADIGITALE 2026) per un ammontare complessivo di 1,9 miliardi di euro, nello specifico con i due investimenti che mirano all’adozione dell’approccio Cloud first da parte della PA, ovvero
- “Investimento 1.1: Infrastrutture digitali” (PA Centrali, ASL e Aziende Ospedaliere) e
- “Investimento 1.2: Abilitazione e facilitazione migrazione al cloud” (Comuni, Scuole, ASL e Aziende Ospedaliere);
- le Gare strategiche ICT di Consip (es. Accordo Quadro Public Cloud) e gli altri strumenti Consip (MEPA e SDAPA). In particolare, l’Accordo Quadro Public Cloud consentirà alle PA di ridurre, in modo significativo, i tempi di approvvigionamento di servizi public cloud IaaS e PaaS e di servizi professionali per le PA che necessitano di reperire sul mercato le competenze necessarie per attuare quanto previsto nel manuale di abilitazione al cloud. Inoltre, con riferimento al MEPA è stata attivata una sezione dedicata alle amministrazioni individuate come soggetti attuatori dell’investimento 1.2 del PNRR.
Conclusioni e interrogativi
Esistono norme e strumenti operativi per tutelare i dati gestiti da cittadini, aziende private e pubbliche amministrazioni attraverso la migrazione al cloud.
Esistono strumenti finanziari pubblici, immediatamente disponibili, per permettere alle pubbliche amministrazioni di migrare i propri servizi e dati sul cloud, gestendoli in maniera “sicura” ed evitando il furto di dati.
Da sottolineare che la migrazione al cloud delle pubbliche amministrazioni è un’azione che deve essere effettuata, cioè non è facoltativa!
La notizia del furto di dati sensibili da PC dell’Ospedale Civico di Palermo rientra nel contesto normativo e degli strumenti finanziari illustrati.
Il primo interrogativo che ci si pone è:
perchè il personale di un Ospedale Civico di una grande città italiana nel 2023 mantiene e tratta i dati sensibili e di privacy dei pazienti nei pc e non in servizi di cloud hosting?
Se i dati fossero stati gestiti nel cloud si avrebbe avuto solo il furto di 2 semplici PC con un danno erariale molto contenuto relativo al valore degli stessi PC! Il Responsabile Transizione Digitale (RTD), il Titolare e il Responsabile del trattamento dati dell’Ospedale Civico di Palermo possono fornire la risposta.
Il secondo interrogativo è:
ad oggi il management dell’Ospedale Civico di Palermo ha aderito agli avvisi del PNRR PA DIGITALE 2026 dedicato alle ASL e Aziende Ospedaliere, presentando propri progetti finalizzati alla migrazione al cloud per ottenere il relativo finanziamento?
Questo interrogativo serve a comprendere se nel breve futuro dobbiamo temere ancora che i dati sensibili e di privacy dei pazienti siciliani possa essere, o meno, ancora a rischio di furto. Sarebbe utile per tutti i cittadini siciliani conoscere questa informazione che può solo rassicurare sulla tutela dei dati sensibili e personali. Anche in questo caso, il Responsabile Transizione Digitale (RTD), il Titolare e il Responsabile del trattamento dati dell’Ospedale Civico di Palermo possono fornire la risposta.
È stata effettuata una ricerca delle figure del RTD, del Titolare e del Responsabile del trattamento dati dell’Ospedale Civico sul sito istituzionale per porre le domande, ma sono state individuate solo le informazioni sugli “incarichi politici, di amministrazione, di direzione o di governo” sulla sezione Amministrazione Trasparente:
- Direttore Generale: Dr. Roberto Colletti
- Direttore Amministrativo: Dott. Francesco Paolo Tronca
- Direttore Sanitario: Dott. Salvatore Requirez
Le domande le poniamo a loro.
Speriamo e ci auguriamo che possano rispondere, nell’unico interesse della tutela dei dati dei pazienti siciliani.
Grazie in anticipo per le risposte.