DISPOSITIVI MEDICI, DATA PROTECION E CYBERCRIME

Dispositivi medici, data protection, e cybercrime: tre argomenti oggi strettamente collegati.

Lo stimolo a scrivere questo articolo (postato anche sul mio profilo LinkedIN) mi è venuto nel corso del convegno organizzato da APHIM al CNR di Pisa su  "Privacy, diritti e salute nella Pubblica Amministrazione del futuro"

Nel corso del convegno in relatore ha ricordato che all’inizio dell’anno 2016 il più importante ospedale di Hollywood ha subito un “furto informatico” delle cartelle cliniche (con pagamento di 17 milione di dollari - qui qualche notizia http://www.latimes.com/business/technology/la-me-ln-hollywood-hospital-bitcoin-20160217-story.html) e che la settimana scorsa il Lincolnshire Hospital ( in UK) ha subito un attacco informatico con “furto” delle cartelle cliniche dei pazienti (qui le notizia http://www.bbc.com/news/uk-england-humber-37863949).

Poi ha evidenziato che molti apparecchi sanitari - che sono dispositivi medici sottoposti alla dir 92/42/CEE - non sono sicuri sotto il profilo informatico, ma che non possono essere ”modificati” (nel senso di migliorati con “aggiunta” di sistemi di sicurezza relativa alla sicurezza dei dati) proprio in quanto sono dispositivi medici, e quindi sottoposti solo alla manutenzione prevista dal fabbricante.

E’ proprio vero.

Come è altrettanto vero che tale situazione - almeno stando al nuovo quadro legislativo oggi disegnato dal legislatore comunitario - sembra destinata a cambiare.

Il futuro regolamento UE sui dispositivi medici (sul quale di recente è stato trovato l’accordo in sede UE e che presumibilmente verrà pubblicato nella primavera del 2017) introduce una disciplina molto più articolata per quanto riguarda i software utilizzati in ambito medicale (all’interno di un DM oppure come software stand-alone - come le APP medicali).

Più esattamente all’interno dell’Allegato 1 - sui Requisiti Essenziale di Sicurezza che devono essere rispettati per apporre la marcatura CE - al punto 14. 2 si stabilisce che 

14.2. Per i dispositivi contenenti un software o per i software che costituiscono dispositivi a sé stanti, il software è sviluppato e fabbricato secondo lo stato dell'arte, tenendo conto dei principi del ciclo di vita dello sviluppo, della gestione del rischio, compresa la sicurezza delle informazioni, della verifica e della convalida. 

Al punto 14.3 bis si sancisce poi che 

14.3 bis. Il fabbricante descrive i requisiti minimi in materia di hardware, caratteristiche delle reti informatiche e misure di sicurezza informatica, compresa la protezione contro l'accesso non autorizzato, necessari per far funzionare il software come previsto. 

In sostanza si chiede espressamente al fabbricante del DM che contiene software (o che è di per sé un software) di progettare lo stesso in maniera da garantire la sicurezza informatica, dando altresì indicazioni precise all’utilizzazione (es l’ospedale) circa le previsioni da rispettare per mantenere e gestire tale sicurezza. 

Tale obbligo, peraltro, trova peraltro parallela disciplina all’art 25 del nuovo Reg 679/16 sulla data protection ove si sancisce che 

..il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudoni­mizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. .....

Tale concetto è meglio spiegato al Considerando 78 dello stesso Regolamento ove riafferma che 

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.

In sostanza il considerando 78 combina in maniera molto più chiara il principio dell’accountability (art. 24) in capo al titolare dei dati (l’ospedale) con il principio della progettazione privacy by design e by default (in capo sempre all'ospedale titolare dei dati, ma che richiede il necessario apporto ab origine dal fabbricante del software).

Ne deriva che il titolare dei dati sarà portato necessariamente ad acquistare DM che garantiscono un alto livello di privacy by design.

Ciò per ottemperare agli obblighi che discendono dal nuovo regolamento e, forse, per arginare il dilagante cybercrime, che sta colpendo anche l’ambito sanitario.