Autore: wp_6910267

Lo sappiamo. Le vulnerabilità più facilmente penetrabili per tutti i sistemi informativi sono le persone. Un sistema informativo, anche se dotato dei più sofisticati meccanismi di sicurezza, viene usato dagli uomini e, si sa, gli uomini non sono perfetti, sono intrinsecamente deboli.

Sul tema, l’ENISA (l’European Union Agency for Network and Information Security) ha recentemente pubblicato un documento che esamina gli approcci culturali che possono essere utili a modificare i comportamenti delle persone nei confronti della cybersecurity.

L’ENISA esamina, in particolare, i punti deboli dei due approcci più diffusi: quello basato sulla teoria del comportamento atteso e quello basato sulla teoria della protezione motivata.

Il primo risulta, spesso, inefficace perché ha come presupposto teorico il rispetto delle regole aziendali da parte degli utenti del sistema informativo. Questo, in varie occasioni, non accede per tanti motivi: le regole non sono sufficientemente diffuse, le regole non sono chiare, non ci sono sanzioni significative anche per piccole infrazioni.

L’altro approccio, invece, è inficiato da una circostanza molto elementare. L’utente, pur motivato alla protezione del sistema informativo, quando si trova di fronte alla minaccia deve eseguire due passaggi concettuali: sapere che esiste una contromisura che funziona ed applicare la contromisura. Non è scontato che l’utente sappia procedere correttamente alla combinazione dei due passaggi.

Il fattore umano è sempre centrale: nel bene e nel male.

Cosa ha cambiato il GDPR nel nostro rapporto con gli operatori sanitari? Cosa dobbiamo aspettarci quando andiamo dal medico di famiglia, dallo specialista o in una clinica?

Le prime risposta a queste domande sono state riepilogate dal Garante per la Protezione dei Dati Personali in una nota inviata, il 13 marzo scorso, a tutti i soggetti, pubblici e privati, coinvolti nel sistema sanitario italiano.

È stato ribadito (anche con una specifica infografica) che, per motivi di cura, non è previsto alcun consenso da parte del paziente. Il consenso è previsto solo per trattamenti accessori: utilizzo di una app medica, finalità commerciali su pratiche terapeutiche, ecc.. Quindi il medico (di famiglia o specialista), la clinica o il farmacista non devono chiedere la nostra firma per accettazione del trattamento.

Rimane, tuttavia, l’obbligo per tutti gli operatori sanitari di fornirci l’informativa prevista dall’art. 13 del GDPR e rimangono invariati i diritti che spettano agli interessati: diritto d’accesso, diritto di rettifica, diritto all’oblìo, ecc.

Tuttavia, il Garante, nella sua nota, precisa che sta elaborando i provvedimenti previsti dall’art. 2‑septies del nuovo Codice Privacy e volti a definire le misure di garanzia che tutti gli operatori sanitari dovranno osservare per il trattamento dei dati riguardanti la salute.

Nel frattempo, continuiamo a dire trentatré al nostro medico.