Protezione dello spazio cibernetico nel settore sanitario: parte 2
Norme, tutela dei diritti fondamentali, misure tecniche e organizzative e gestione del rischio.
Alla luce delle considerazioni svolte nell’articolo precedente, si è in grado ora di contestualizzare le specifiche disposizioni di legge in materia di sicurezza delle informazioni e di protezione dei dati personali, di cui si svolgerà una sommaria ricognizione di seguito, all'interno di un più ampio quadro regolatorio, del quale fanno parte, in varia misura e con varie intensità, come spiegato, le ricordate disposizioni, di ‘soft law’, quali presenti nella standardizzazione ricordata.
In questo ambito, chiaramente, occorrerà tenere in considerazione anche le specifiche norme ovvero gli standard applicabili al settore che ci occupa in questa sede, vale a dire, il settore sanitario, quello cioè, attraverso il quale l'ordinamento, principalmente, eroga nel settore pubblico, in favore dei cittadini, quei servizi che la carta costituzionale del nostro Paese riconduce alla tutela del diritto fondamentale alla salute.
Le norme da tener presente
Per quanto riguarda le norme aventi forza di legge all'interno del nostro ordinamento, assistite cioè da sanzione, in caso di inosservanza, dobbiamo ritenere che costituiscano dei veri e propri capisaldi, in relazione ai quali interpretare le singole fattispecie che dovranno essere di volta in volta considerate, le disposizioni di cui all'articolo 32 e 33 del regolamento generale in materia di protezione dei dati personali, nonché quelle non meno importanti contenute, sia nell’articolo 14 della ricordata direttiva NIS, sia nelle corrispondenti norme di attuazione di cui all’art. 12 del D. Lgs. 18 maggio 2018, nr. 65, recante Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione. (18G00092) (GU Serie Generale n.132 del 09-06-2018), dal titolo “Obblighi in materia di sicurezza e notifica degli incidenti”.
La circostanza che le norme appena menzionate siano contenute in testi legislativi diretti a disciplinare situazioni apparentemente non omogenee tra loro, quali la sicurezza cibernetica e il trattamento dei dati personali, non deve tuttavia indurre a non considerare in modo idoneo la specifica rilevanza di entrambe, specialmente per ciò che attiene il settore sanitario, ove, in effetti, convergono, da una parte l'esigenza di proteggere la continuità operativa delle prestazioni sanitarie erogate, sempre più spesso, attraverso strumenti elettronici di elaborazione, e dall'altra, la necessità di garantire che il trattamento dei dati personali riferiti alla salute degli individui, sia assistito da misure adeguate a garantire la riservatezza, l’integrità e la disponibilità degli stessi.
La protezione di diritti fondamentali
Dal punto di vista interpretativo, invero, le due norme si caratterizzano per esprimere, attraverso parametri differenti, la necessità condivisa di protezione di diritti fondamentali, collettivi e individuali, che costituisce la ratio della loro emanazione, individuando tuttavia, un nucleo applicativo, concreto, materiale, immateriale o digitalizzato sul quale insistono, vale a dire lo spazio cibernetico o cyberspazio.
Come sopra accennato, il decreto legislativo 18 maggio 2018, all’art. 12 ha individuato le caratteristiche di sicurezza che devono essere applicate alle operazioni svolte nell’ambito delle prestazioni erogate dai fornitori di servizi essenziali specificando, al comma 1, che gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.
La prima considerazione da svolgere, in ordine al contenuto della norma appena citata, riguarda il fatto che essa è stata compendiata, nel processo di adeguamento dell’ordinamento nazionale ai principi comunitari, da disposizioni di natura regolamentare di diritto interno, contenute nei vari decreti attuativi, che declinano, in puntuali adempimenti a carico degli operatori, i principi generali recepiti dalla direttiva NIS.
In tale ambito, dal punto di vista di chi scrive, volendosi soffermare brevemente e senza pretesa di completezza alcuna, sul contenuto letterale della disposizione dell’art. 12 richiamato, vale la pena di evidenziare, sin da subito, per la rilevanza della formulazione impiegata, che, la legge individua, in modo analogo a quanto avviene nell’art. 32 del GDPR e a quanto previsto dalla standardizzazione in materia di information security, in riferimento alle misure di sicurezza a carico del soggetto obbligato, due macro-categorie di misure, e cioè, le misure tecniche e le misure organizzative.
Misure tecniche e organizzative
Quanto da ultimo precisato, in ordine alla necessità di adottare misure tecniche ed organizzative proporzionate alla gestione dei rischi, appare essere particolarmente importante, poiché consente, anche ai non esperti della materia, di constatare come, la protezione dello spazio cibernetico, diversamente da quanto da alcuni ritenuto, non sia un fatto esclusivamente tecnologico.
Non dipenda cioè solo dal tipo di tecnologia di sicurezza impiegata per la protezione, essendo invece necessario che, insieme all’indispensabile substrato tecnologico di protezione, che comprende, per esempio, antivirus, firewall, access control list, procedure di autenticazione e autorizzazione e altro, siano adottate ed efficacemente attuate, all’interno dell’organizzazione soggetta all’applicazione delle norme in esame, e nei suoi rapporti con i terzi, delle politiche e delle procedure in grado, prima di tutto, di definire, con specifico riferimento alla sicurezza cibernetica, ruoli e responsabilità dei soggetti coinvolti, e in secondo luogo, di stabilire modalità di verifica periodica dell’efficacia delle misure intraprese.
La gestione del rischio
Un altro parametro fondamentale, sancito dalla legge, da tenere nella debita considerazione, nell’attuazione di un programma di sicurezza cibernetica all’interno delle organizzazioni sanitarie, è quello del rischio, in relazione all’esistenza ed trattamento del quale, in termini di mitigazione e/o eventuale trasferimento, le misure devono essere previste.
Si deve osservare, a questo punto, per completare la prima analisi delle coordinate normative all’interno delle quali collocare la disciplina legale rilevante in materia di sicurezza cibernetica nel settore sanitario, come il concetto di rischio, quale parametro di determinazione delle misure di sicurezza da applicare, sia presente anche nelle norme in materia di protezione dei dati personali. Questo sia per quanto riguarda l’adozione delle misure di sicurezza in senso stretto, quelle cioè previste dall’art. 32 sopra ricordato (ove si prevede che, nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati), sia per quanto riguarda quella specifica operazione di valutazione del rischio, prevista dall’art. 35, che prende il nome di valutazione di impatto, che il titolare del trattamento è obbligato a svolgere prima che questo abbia inizio, allorché il trattamento che preveda in particolare l’uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.