Autore: wp_6910267

Il GDPR prevede che uno dei casi in cui il titolare del trattamento dei dati personali è obbligato a nominare un Responsabile per la Protezione dei Dati Personali (DPO) ricorre quando le sue attività “consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati”.
Tra le categorie particolari di dati ci sono quelli riguardanti la salute. In questo caso, la presenza obbligatoria del DPO offre agli interessati una ulteriore garanzia sulla conformità del trattamento alle norme.
Il nostro medico di famiglia o il nostro dentista devono nominare il DPO? Certamente trattano dati riguardanti la salute. Ma il trattamento avviene su “larga scala”?
Il gruppo dei garanti europei ha tentato di sciogliere questo dubbio nelle Linee guida sul DPO. A proposito dei medici, ha espressamente stabilito che non costituisce trattamento su larga scala quello effettuato sui dati dei pazienti dal singolo professionista. Questo perché si suppone che il singolo professionista sia vincolato dal segreto professionale, di per sé sufficiente a contenere i rischi di violazione dei dati personali (considerando 53 del GDPR).
Ma che succede quando il professionista lavora in una struttura organizzativa che impiega lavoratori dipendenti non vincolati al segreto professionale? Oppure quando il medico condivide uno studio associato con altri professionisti?
I rischi aumentano, per ragioni diverse, in entrambi i casi. Appare, quindi, ragionevole che sia nominato un DPO e che i pazienti ne siano informati.
Il DPO, peraltro, non può coincidere con i fornitori dei servizi informatici dello studio medico. Infatti, il DPO deve essere una figura indipendente e non deve avere alcun ruolo decisionale o operativo nel trattamento dei dati dell’organizzazione che lo nomina.
Larga la scala, stretta la via per i medici in compagnia.

Quando abbiamo paragonato l’infrastruttura comunicativa di un sistema informatico all’apparato cardiovascolare del corpo umano non pensavamo che una personalità come Dave Palmer potesse utilizzare una metafora analoga per descrivere come funziona il sistema di difesa dagli attacchi informatici ideato dalla sua Darktrace.

In una recente intervista, Palmer, ex agente del Mi5 (il servizio segreto inglese) e fondatore di una delle società di sicurezza ICT più all’avanguardia, ha dichiarato che i prossimi meccanismi di protezione dei sistemi informatici dovranno agire come il sistema immunitario del corpo umano, per riuscire a comprendere le anomalie prima che la patologia diventi acuta.

Nell’intervista, Palmer aggiunge, tuttavia, che i meccanismi automatici di difesa non bastano. Occorrono almeno altri due interventi:

• la sensibilizzazione dei cittadini e degli operatori, finora marginale nel panorama dei programmi educativi italiani;

• la formazione di persone specializzate a reagire alle violazioni per ripristinare rapidamente una situazione di normalità;

L’attività di ricerca e rilevazione degli attacchi, che impiega oggi molte risorse, sarà delegata, invece, in futuro sempre più a software basati sull’intelligenza artificiale.

Andiamo incontro, quindi, ad una sicurezza furba nella quale gli essere umani faranno davvero la differenza.