Stanno emergendo forti indizi che diverse strutture sanitarie stanno gestendo con leggerezza i dati dei tamponi e dei positivi, con il risultato di esporli con facilità agli occhi altrui.
C’è ora la prima istruttoria aperta dal Garante Privacy: sull’Ats Milano, perché sulla piattaforma Milano Cor, dell’Ats, era possibile per chiunque scoprire se un cittadino era risultato positivo al coronavirus.
Ma sulla scrivania del Garante c’è anche l’esposto di Privacy Networks relativo al sito della Regione Lombardia “Tampone in un Click”, per analoghi problemi.
L’istruttoria del Garante Privacy sul caso Ats Milano
Cor Milano contiene circa 3400 utenti trovati positivi dall’Ats di Milano. L’utilità è che permette loro di sapere cosa fare, senza dovere telefonare a call center (spesso intasati in questo periodo).
Diversi esperti (Stefano Zanero, Matteo Flora) e qualche giornale (Dday) nei giorni scorsi hanno segnalato un problema, riportato al Garante anche dall’associazione Privacy Networks. E non era un problema da poco: la piattaforma permetteva a tutti di sapere se un qualunque cittadino vi è registrato. Dal 3 novembre Ats ha corretto l’errore, ma questo non copre l’eventuale illecito.
Funzionava così: bastava inserire un codice fiscale e un numero di telefono casuale per sapere se il cittadino in questione era iscritto alla piattaforma, il che implica anche sapere che quel cittadino è stato contagiato dal virus. Sulla piattaforma, infatti, sono registrati solo cittadini risultati positivi al tampone.
Il Garante ora chiede alcune informazioni ad Ats, per avviare l’istruttoria. Tra l’altro, quali misure di sicurezza ha adottato e soprattutto quali intende adottare per evitare si ripeta il fattaccio.
LA STORIA
La leggerezza della Sanità dell’Alto Adige
Non solo Lombardia. Questa storia la racconta l’esperto di PA digitale Sergio Sette, uno degli autori di Agendadigitale.eu.
Screening covid a scuola. Al termine dei tamponi un addetto ASL lascia al referente covid scolastici i codici per accedere ai referti di tutti. Già: tutti. Molti si chiederanno, ma i referti non si dovrebbero vedere nel Fascicolo sanitario elettronico? Infatti è stato chiesto all’addetto della ASL che fra lo stupito e lo stranito ha risposto “ma no!”.
È che qui il fse è una novità, è semi vuoto e soprattutto quasi nessuno sa della sua esistenza, vista la scarsa utilità. Comunque nel fascicolo il referto del tampone risulta presente ma l’allegato contenente il referto non si può aprire. Probabilmente perché non c’è. Online si può accedere al referto, ma non attraverso il fse ma solo con i codici lasciati al referente covid.
Dal meraviglioso mondo della sanità digitale dell’Alto Adige è tutto.
Il caso Regione Lombardia, Tampone in un Click
Il caso della Regione lo racconta Diego Di Malta, che l’ha vissuto in prima persona.
Pochi giorno fa un amico mi ha segnalato il sito della Regione Lombardia in cui è stato recentemente implementato il servizio “Tampone in un Click”.
In sostanza, si tratta di un modo semplificato per leggere il proprio tampone, così tanto semplificato che può farlo chiunque, anche un estraneo. Sì, perché il sistema chiede solo tre informazioni: 1- codice fiscale; 2- ultima cifre della tessera sanitaria; 3- numero di cellulare.
Ora, per immettere i primi due campi è necessario avere la tessera sanitaria di una persona. Per immettere il terzo campo è necessario possedere un’utenza telefonica mobile che, nel 2020 equivale praticamente a dire che è necessario avere il cuore che batte.
Il problema è proprio questo: per accedere alla cartella sanitaria puoi inserire i dati e infine un numero di cellulare qualunque.
Questo significa che, se possiedi la copia di una tessera sanitaria di un dipendente, cliente, ex moglie, collega eccetera, puoi sbirciare i suoi dati sanitari.
Inizialmente mi sembrava impossibile, allora ho provato ed ho chiesto al mio amico Giovanni (nome fittizio) di girarmi una fotocopia del suo documento. Ho inserito i dati e poi ho messo il mio numero di telefono cellulare. Ho schiacciato invio e in pochi secondi mi è arrivato un SMS sul mio cellulare contenente il codice di accesso alla cartella sanitaria di Giovanni.
Ero sbalordito.
Ne ho parlato con i colleghi di Privacy Network ed abbiamo quindi deciso di presentare una segnalazione al Garante Privacy.
Il punto è che un sistema del genere funziona solo se l’invio del codice di accesso avviene su un dispositivo associato in un altra fase (ad esempio se il codice fosse inviato al cellulare raccolto al momento del tampone) in questo modo, invece, il codice viene inviato al soggetto che inserisce i dati, circostanza questa che rende del tutto inutile questa sorta di autenticazione a due fattori farlocca.
Naturalmente, per difendersi, i diretti interessati attaccheranno dicendo cose del tipo “ah, questi si preoccupano della privacy poi scaricano ogni tipo di app”, beh… a parere di chi scrive, un’autorità dovrebbe tutelare i propri cittadini a prescindere dal fatto che questi regalino dati ad altre app. Non solo, essendo il medesimo risultato prefisso da “Tampone in un Click” raggiungibile con sistemi più sicuri e non più costosi, è evidente che la privacy non è in alcun modo di ostacolo al raggiungimento dell’obiettivo di fornire risultati dei tamponi veloci.
In conclusione, il problema è solo uno: le cose possono essere fatte bene o male. In questo caso il servizio “Tampone in un Click” è semplicemente pensato male e andrebbe velocemente sistemato per garantire la riservatezza dei cittadini lombardi.
Tutto ciò è indice di una scarsa attenzione alla riservatezza dei cittadini. Ed è proprio questo l’aspetto grave della vicenda. Come può il cittadino fidarsi di chi tiene così poco in considerazione la riservatezza?
Si tratta pur sempre di dati sensibili, come si fa a permettere di attivare un simile meccanismo? È incredibile che il DPO di Regione Lombardia o quello di ATS non si siano nemmeno posti la domanda “ma questo è davvero un sistema a doppia autenticazione?”.
Perché è grave quanto sta succedendo
I dati sanitari sono i più delicati e critici, avendo un alto impatto sulla vita dell’interessato. Il Garante Privacy tiene così in particolare conto la loro violazione.
Da un punto di vista normativo, si rischia una sanzione di 20 milioni di euro ai sensi dell’articolo 82 del regolamento europeo Gdpr sulla privacy. E se si accerta che qualcuno ha ricevuto un danno dalla violazione, ci possono anche essere risvolti penali per i responsabili.
Le conseguenze di una simile leggerezza possono essere molto dannose per i cittadini.
- Stalking: ex fidanzati, vicini di casa possono sapere la nostra situazione di salute presente, passata. Lo può sapere il nostro datore di lavoro, che ha certo i nostri dati di identità da cui ricavare il codice fiscale.
- Possono derivarne discriminazioni sul lavoro e nella vita privata.
- Fino a pensare all’accesso massivo da parte di criminali informatici che, con i dati di tessere sanitarie o codici fiscali, possono acquisire dati sanitari utili per truffe, ricatti, sostituzioni di persona. Dati che per altro possono fare gola anche a società di marketing o assicurazioni, per ovvi motivi di profiling e gestione rischio.
Ma in generale quanto sta succedendo è grave perché denota una leggerezza davvero inaccettabile da parte del personale sanitario, seppure nell’emergenza, nel trattare dati così connessi alle nostre libertà e diritti fondamentali. Come spiegato da sentenze della Corte Costituzionale, nessun diritto costituzionale può essere tirannico su un altro. Il diritto alla Salute non può essere alibi per mettere a rischio, sì nella pratica involontariamente ma con volontaria superficialità, la sfera più sacra e inviolabile della persona.
Senza contare che – come detto – questa leggerezza indebolisce la fiducia dei cittadini nelle istituzioni sanitarie, proprio in un momento in cui la fiducia e la coesione sociale sulla Sanità dovrebbero essere massime e sono già scalfite da diverse teorie del complotto.
Per questo motivo ci auguriamo che il Garante Privacy intervenga con severità su queste pratiche e imponga a tutti il rispetto delle norme.
È soprattutto nelle emergenze che dobbiamo tenere alta l’attenzione per la tutela di ciò che ci rende persone, ossia qualcosa ben più alto rispetto a corpi da curare.
IL COMMENTO
Così distruggiamo la reputazione della Sanità italiana
È tutta una questione di reputazione, dell’ente sanitario interessato e della intera filiera.
In un momento di infodemia, informazioni contrastanti, fake news è di fondamentale importanza per una istituzione (specie se sanitaria) presentarsi integerrima e ai massimi livelli di professionalità.
Non siamo più negli anni 90, non basta certo dire “abbiamo fatto il nostro meglio con il tempo a disposizione”: una istituzione deve avvalersi di professionisti solidi e che lavorano secondo i più alti standard. Sempre. Soprattutto in momento di crisi.
La posta in gioco è altissima sia per l’istituzione stessa – che scredita l’intero sistema – sia per i cittadini che rischiano in un momento di debolezza di vedere i propri dati sottratti per l’inesperienza di quei soggetti che più di tutti dovrebbero tutelarli.
Matteo Flora
