GDPR e trasmissione di dati, anche in area sanitaria

Lavorando quest’anno all’implementazione del GDPR all’interno delle strutture sanitarie è spesso emerso il problema del trasferimento dai dati da un soggetto all’altro, sia all’interno dello stesso ente (ad es, dipartimenti diversi della stessa) sia tra soggetto sanitari diversi (ad esempio tra diverse strutture o tra struttura e altro soggetto pubblici o privati).

Più esattamente il tema è: quali modalità di trasferimento dei dati possono considerarsi sicure e quindi rispettose dell’art. 32 del GDPR?

In un precedente articolo, avevamo già parlato del provvedimento del Garante Privacy nei confronti dell'Agenzia delle entrate sull'obbligo di fatturazione elettronica del 15 novembre 2018,  primo atto con cui il Garante ha esercitato il suo potere correttivo di avvertimento (art. 58 par 2 lett. a) e che offre molti spunti di riflessione.

Le criticità sollevate dal Garante infatti relative al trasferimento di dati contenuti nelle fatture, possono trovare applicazione – a maggior ragione – al trasferimento di dati relativi alla salute.

Senza voler in questa sede approfondire tutti gli aspetti sollevati dal Garante, si svolgono qui alcune considerazioni relative alle criticità dei canali di trasmissione.

Di seguito in corsivo i passaggi contenuti nel provvedimento del Garante, e in formato normale, i commenti dello scrivente.

6. Criticità ulteriori: canali di trasmissione e recapito delle fatture elettroniche, intermediari e servizio di conservazione delle fatture da parte dell’Agenzia.

6.1. Canali di trasmissione e recapito delle fatture elettroniche.

Con riferimento alla sicurezza dei canali di trasmissione delle fatture elettroniche, si evidenzia che nel provvedimento n. 89757, sembrerebbe attualmente previsto l’utilizzo del protocollo FTP, che non è considerabile un canale sicuro.

Il protocollo FTP (File Transfer Protocol) risale al 1971 ed invia nome utente e password senza alcuna criptazione. Non è quindi sicuro: può essere utilizzato per collegamenti estemporanei (una sola volta) e temporanei (per pochi minuti) tra due utenti. Assolutamente sconsigliato per trasmissioni continuative di documenti contenenti dati relativi alla salute.

In proposito, il Garante ha, infatti, più volte evidenziato le criticità connesse all’utilizzo di tale protocollo in altri ambiti di trattamento, e anche prescritto all’Agenzia, già dal 2008 e, da ultimo nel 2017, l’utilizzo di canali sicuri di trasmissione.

Occorre, pertanto, prevedere, anche nell’ambito dello SDI, l’utilizzo di canali di connessione sicuri idonei a garantire un livello di sicurezza adeguato al rischio, in linea con quanto previsto dell’art. 32 del Regolamento.

Un canale di connessione sicuro è il diffuso protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) che trasmette e riceve dati all’interno di una connessione criptata, tramite crittografia asimmetrica, fornendo l’autenticazione del sito web visitato, l’integrità dei dati scambiati tra le parti, la riservatezza dei dati scambiati.

Un’ulteriore criticità deriva dalla mancata cifratura del file XML della fattura elettronica. Ciò, considerando, in particolare, il previsto utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di gestione della posta elettronica, che espone gli interessati a maggiori rischi di accesso non autorizzato i dati personali (utilizzo non esclusivo della PEC in ambito aziendale, furto di credenziali e attacchi informatici ai server).

L’utilizzo della Posta Elettronica Certificata (PEC) è tema che merita un approfondimento: la PEC è un tipo particolare di posta elettronica introdotto in Italia con il D.P.R. n. 68/2005 che rappresenta un mezzo di trasmissione sicuro, anche se parzialmente diffuso (Fonte AgID: circa 8,6 milioni di caselle attivate a marzo 2018) e soprattutto scarsamente utilizzato. In ambito privato non c’è l’abitudine, ai Medici non piace e la trovano complicata. In ambito di strutture sanitarie pubbliche le caselle PEC attivate sono pochissime, usate solo in alcuni uffici in ragione della problematica connessa al protocollo (in altre parole: l’uso della PEC fa perdere il controllo del Registro giornaliero di protocollo dove l’Ente registra progressivamente gli estremi di documenti e atti ricevuti o spediti).

Il risultato è che la PEC – nonostante sia sicura e costi poco – non viene utilizzata e si continua a far girare dati relativi alla salute tramite mail box commerciali; oppure un’unica casella è usata da più uffici o da un solo ufficio ma con la password di accesso conosciuta da tutti gli addetti a quell’ufficio.

Una prima soluzione potrebbe essere attivare una casella di PEC per ogni ufficio, con un solo addetto incaricato della sua gestione (quindi la password conosciuta da una sola persona).

6.3. Servizio gratuito di conservazione delle fatture da parte dell’Agenzia.

L’Agenzia offre un servizio gratuito di conservazione delle fatture basato su un accordo di servizio. Al riguardo, non è chiaro il ruolo assunto dall’Agenzia in relazione al trattamento dei dati personali in tale servizio gratuito. In ogni caso, da quanto emerso in alcune notizie stampa, sembrerebbe che il testo di tale accordo di servizio per la conservazione delle fatture elettroniche preveda che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. Ciò, verosimilmente violando l’art. 5, par. 1, lett. f) e l’art. 32 del Regolamento.

Qui il tema affrontato è quello della c.c. “mappatura soggettiva” in ambito privacy.

Quando si trasmettono i dati a soggetti esterni che poi li trattano (ad esempio li conservano) occorre chiedersi che ruolo rivestono tali soggetti (sono titolari autonomi o co-titolari oppure responsabili?), qual è la base giuridica che legittima tale trasmissione (un contratto, il consenso, una legge, ecc?) e, di conseguenza, quali sono i profili di responsabilità che si creano a valle di questa trasmissione.

Nel caso specifico sembrerebbe che l’Agenzia intenda svolgere il ruolo di Responsabile ex art. 28 verso l’utente ma poi, trattandosi di un servizio gratuito, non se ne voglia assumere tutti gli oneri conseguenti (perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali). Il che, nel caso, viola il dettato del GDPR.