Dati e Segreto Professionale

Degli ultimi data breach ai danni dell’Università di Tor Vergata o del Comune di Gorizia, ci sarebbe molto da dire ma si finirebbe per commentare gli eventi allo stesso modo di tante altre volte. Dati personali mischiati a quelli professionali, password esposte, dati particolari memorizzati senza alcuna protezione. Proviamo, quindi, ad approcciare il problema da un punto di vista differente.

Segreto professionale

Nel Codice Penale esiste un articolo, il numero 622, che si intitola “Rivelazione di segreto professionale” e prescrive quanto segue:

Chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto può derivare nocumento, con la reclusione fino a un anno o con la multa da euro 30 a euro 516. La pena è aggravata se il fatto è commesso da amministratori, direttori generali, dirigenti preposti alla redazione dei documenti contabili societari, sindaci o liquidatori o se è commesso da chi svolge la revisione contabile della società. Il delitto è punibile a querela della persona offesa.

Fonte: Codice Penale

Il 2 dicembre 2021 è stata attaccata l’Unità Locale Socio Sanitaria (ULSS) 6 Euganea da parte del collettivo LockBit. L’emorragia di dati è impressionante considerando la natura delle informazioni e il contenuto dei documenti. Per spiegare, vi è stata l’esfiltrazione di informazioni sanitarie riguardanti molestie domestiche ai danni di un genitore: l’informazione era contenuta nella denuncia di un medico operante presso il pronto soccorso.

Il 21 aprile 2022 un’azienda sanitaria locale del Comune di Messina è stata oggetto di attacco da parte del collettivo LockBit. Durante l’esame dei dati esfiltrati sono emersi anche documenti che si riferivano a presunti effetti collaterali emersi dopo la vaccinazione da COVID-19. Le informazioni erano contenute in un file di testo semplice (file di formato .txt).

Il 21 giugno 2022 è stato attaccato l’Ospedale Macedonio Melloni con l’esposizione di dati riguardanti le problematiche psichiche di minori (si parla anche di condotte suicidarie). Le informazioni erano state riscontrate nelle interazioni medico-paziente e trascritte in dei normali file di testo Word (file di formato .doc).

Un rapporto mediato

Nell’attacco ai danni dell’ULSS 6 Euganea, decine di rapporti medici su sospette violenze sono stati trafugati dagli hacker. Immaginate di spiegare ad un genitore che i dati di sua figlia, riguardanti un sospetto stupro, sono in circolazione sulla rete, alla mercé potenzialmente di chiunque, perché mal tenuti e peggio difesi dalla struttura sanitaria. Grazie a questa mala gestione noi sappiamo tutto di questi pazienti che, prima di tutto, sono vittime e meriterebbero un rispetto differente. Sappiamo il nome, il cognome, l’età, sappiamo se adottano social o no (come elemento raccontato negli eventi), le dinamiche familiari, il giorno e il momento dell’accettazione in ospedale, le cause, i dettagli della visita, le deduzioni del medico. Sappiamo chi sono i consulenti neuropsichiatrici infantili, quali siano le loro conclusioni in merito alle visite; ogni cosa è “alla luce del sole” in un normalissimo documento Word sottratto e visibile potenzialmente a chiunque. Niente di tutto questo è regolare, niente di tutto questo si può considerare accettabile.

Il segreto professionale che, in passato, era gestito nel rapporto duale tra medico e paziente, avvocato e assistito, confessore e fedele, oggi vede la mediazione del sistema informativo e, talvolta, anche del direttore dei sistemi informativi che, se non svolge adeguatamente il suo lavoro, può mantenere l’accesso a file e cartelle che non sono di sua competenza.

Il rapporto a due è divenuto quindi un “rapporto a tre” se non addirittura un “rapporto a quattro”. Consideriamo:

• Paziente
• Medico
• Sistema informativo
• Servizio di gestione cloud

Ebbene sì, perchè se il sistema di gestione dei dati in cloud non viene opportunamente selezionato, i dati potrebbero essere a rischio di accesso non autorizzato da parte dello stesso gestore. Definire quindi queste informazioni un “segreto” comincia ad essere difficile soprattutto quando, pur essendoci i mezzi tecnici per proteggere tali informazioni, si sceglie di non adottarli. Ma come si è arrivati a questo? Lo psichiatra Paolo Crepet, durante uno dei suoi innumerevoli convegni, disse:

“Tutto quello che è comodo è stupido, scrivetelo nella camera dei vostri ragazzi.”

Essenzialmente il problema è che la semplificazione dell’informatica ha portato ad adottare strumenti e procedure lacunose che indubbiamente rendono semplicissimo il lavoro di compilazione di una cartella clinica ma al contempo espongono tali informazioni a rischi incalcolabili. Così oggi quei genitori si ritrovano i dati dei loro figli esposti sulla rete senza poter in alcun modo arginare tale fenomeno.

Un esempio di segreto professionale a rischio

Era il 2020 e si era nel pieno della pandemia da COVID-19. Il lockdown fu per molti utenti un’esperienza traumatica e, chi per continuità e chi per necessità, in molti si rivolsero a specialisti quali psicologi, psicoterapeuti, psichiatri. I dottori, in molti casi, non potevano ricevere presso lo studio ma qualcuno cominciò ad adottare le piattaforme di videoconferenza per istituire le sessioni terapeutiche e gestire i vari casi da remoto. Non erano state date indicazioni a riguardo, né il Ministero aveva messo a disposizione strumentazioni adeguate: ci si doveva arrangiare e le opportunità non mancavano. C’era Google Meet, Microsoft Teams, Zoom e tutte le soluzioni garantivano risultati eccellenti e gratuità.

Qualche mese dopo l’inizio del 2020 il Washington Post fece una scoperta sconcertante: in sostanza le registrazioni delle videoconferenze fatte su Zoom erano accessibili a chiunque senza alcuna password perchè la piattaforma di videoconferenza aveva adottato un sistema di nomenclatura video piuttosto intuitivo che non riusciva a garantire l’adeguata sicurezza. È facile trarre le conclusioni del caso.

Conclusioni

Il segreto professionale nel rapporto tra determinati soggetti è essenziali: è sempre stato garantito dall’etica e dalla deontologia ma oggi deve essere garantito anche dalla tecnologia adottata comprendendo che, per quanto possa rendersi complesso, lo scenario di interazione deve rimanere protetto. Ciò significa studiare i dati che si intende trattare, adeguare e scegliere le misure di sicurezza al proprio scopo ed evitare semplificazioni inutili oltre che dannose; di fatto la perdita di fiducia degli utenti nella tecnologia e, più generalmente, nei servizi online è un fenomeno da scongiurare a tutti i costi.