Il problema principale della privacy in Sanità non è il rischio che qualcuno rubi la cartella clinica di una persona. Quali criminali possono interessarsi delle analisi cliniche di una persona? Che se ne devono fare? Il vero rischio è che un soggetto – anche un’azienda, non necessariamente un gruppo criminale – possa ottenere una grande quantità aggregati, anche anonimi. Potrebbe così influenzare di più le sorti di un Paese, di una società. I dati sulle nostre abitudini farebbero gola a un’assicurazione, a una casa farmaceutica, a una multinazionale digitale. Avere in prima mano i dati di tutti gli smartphone di Roma, di Italia, ha un valore immenso.
Ne stiamo parlando a S@lute2017 oggi e domani a Roma.
Un altro problema è che la criminalità organizzata si è accorto di quanto sia vulnerabile la Sanità. Si moltiplicano quindi le estorsioni mirate contro le strutture sanitarie. Prima i ransomware le colpivano per caso, alla stregua di uffici e altre aziende. Adesso i criminali hanno deciso di “sparare sulla croce rossa”. Stanno cominciando a comparire articoli scientifici che inseriscono il rischio cyber al fianco del rischio clinico, per la Sanità, in un ospedale. Il backup dei dati, soluzione per i ransomware, ma anche contro il rischio di perdita dati (gli hard disk si rompono!) è obbligatorio dal 2003. Norma largamente disattesa. Ciò che serve è quindi la formazione di una cultura, assente. In Sanità c’è la cultura della safety – tutela dei pazienti – non della security, protezione contro i malintenzionati. Non bisogna cambiare completamente la cultura del medico, ma inserire negli ospedali chi ha la cultura della sicurezza là dove serve. Senza intaccare la safety: il paradosso da evitare è mettere una password a un defibrillatore. Un equilibrio difficilissimo da conservare.