La tutela e la riservatezza dei dati, concetti ora maggiormente potenziati dall’applicazione del regolamento GDRP, sono sempre andatai di pari passo con l’utilizzo di tecniche e dispositivi di crittografia.
Ma non sempre queste tecniche e questi dispositivi sono riusciti trovato una costante e coerente applicazione in azienda, per via di vari fattori, non ultimi la cultura della sicurezza esistente in azienda e il costo.
Per capire la portata fenomeno in atto abbiamo parlato con Stefania Prando, Business Development Manager per l’Italia di Kingston Technology, società specializzata nella produzione di dispositivi di crittografia. E abbiamo cominciato proprio dal GDPR.
Come cambia l’esigenza di disporre di informazioni crittografate con l’entrata in vigore del GDPR?
Nel contesto del GDPR la crittografia dei dati ha come fine ultimo quello di garantire che i dati sensibili siano protetti, e risultino accessibili unicamente alle persone autorizzate attraverso dei codici di accesso.
La crittografia è infatti ritenuta dal GDPR una delle tecniche più efficaci per garantire una reale protezione delle informazioni. Il testo del regolamento non fornisce un elenco tassativo e specifico di misure da attuare, ma indica la cifratura dei dati e degli archivi quale tecnica preferenziale per accrescere la protezione dei dati, in particolar modo di quelli sensibili. Dal punto di vista degli adempimenti, l’adozione della crittografia, sia per i dati fissi che per quelli in mobilità, comporta una serie di passaggi.
Bisogna innanzitutto prendere in considerazione la realtà di riferimento, e nell’ambito sanitario si potrebbe pensare agli archivi ospedalieri. Ove manchi la crittografia, risulta necessario effettuare una migrazione verso sistemi che ne risultino provvisti.
Per quanto riguarda l’utilizzo e la gestione di dati sensibili in mobilità, vale a dire quando tali dati vengono trasportati, l’utilizzo di drive USB crittografati permette il trasporto dei dati in tutta sicurezza e in pieno adempimento al regolamento generale sulla protezione dei dati recentemente entrato in vigore.
Il settore healthcare come può trarre beneficio dall’utilizzo di drive crittografati?
Ospedali ed erogatori di prestazioni sanitarie, compagnie di assicurazioni e case farmaceutiche condividono la priorità di prevenire ogni rischio legato alla mobilità, e al contempo la necessità di semplificare le operazioni di audit previste da normative nazionali e regolamenti europei, quali ad esempio il GDPR.
Grazie ai drive USB dotati di crittografia il personale medico ha la possibilità di accedere in tutta semplicità e sicurezza ai dati dei pazienti, ovunque si trovino. Il personale medico e farmaceutico può accedere in modo affidabile alle applicazioni e ai dati quando si trovano a dover lavorare all’esterno delle strutture medico-sanitarie, ad esempio quando erogano prestazioni a domicilio o quando svolgono attività presso i propri ambulatori privati.
Il personale addetto alla gestione delle prove cliniche può accedere o esaminare i dati rilevanti da qualunque PC o tablet, mentre gli addetti alla risoluzione dei sinistri godono di un accesso illimitato alle pratiche. Il personale chiave delle organizzazioni può restare operativo e continuare a gestire i dati essenziali, anche in caso di clima particolarmente ostile o eventi disastrosi. Al contempo, il reparto IT può effettuare facilmente una gestione centralizzata dei drive, dimostrando così il massimo sforzo possibile per rispettare le normative attuali e future, incluso il GDPR.
Cosa propone Kingston alle realtà del settore medicale
L’intera gamma dei drive crittografati Kingston – spiega Stefania Prando -soddisfa le più diverse necessità in materia di protezione dei dati sensibili in mobilità, per le esigenze connesse alla sfera sanitaria e ospedaliera. Ampio il ventaglio d’offerta, grazie a drive USB crittografati che spaziano dai DataTraveler 2000 ai DataTraveler Vault Privacy, certificati FIPS 197, fino a soluzioni più evolute, come gli IronKey D300 e S1000, che sono provvisti di certificazione FIPS 140-2 e sono ideali addirittura per contesti militari e governativi. Entrambe le famiglie utilizzano l’algoritmo crittografico AES-XTS a 256-bit e integrano tutte le funzioni di security a livello hardware, una caratteristica che oltre ad assicurare un maggior livello di protezione rende anche estremamente semplice l’impiego di questi dispositivi. Tutti i drive crittografati utilizzano, poi, password di protezione complessa, con funzione di blocco definitivo dopo un determinato numero di tentativi errati. Proprio grazie a queste funzionalità né lo smarrimento né il furto dei drive viene considerato una violazione dei dati in seno al regolamento GDPR.
I drive crittografati sono dunque uno strumento che garantisce il pieno adempimento al regolamento GDPR, quando i dati sono in mobilità, anche in ambito sanitario, permettendo di coniugare perfettamente le attività correlate alla sanità a quelle connesse alla privacy della persona. Quando si parla di dati sanitari si fa riferimento a tutte quelle informazioni personali che potrebbero potenzialmente rivelare lo stato di salute e le condizioni corporee e mentali degli individui.
Anche i dati genetici, come anche le immagini che vengono scattate nell’eventualità di operazioni chirurgiche, sono intesi come dati sanitari. In Italia la protezione di tali dati è ulteriormente rafforzata, e la Cassazione stessa, attraverso una sentenza emanata nel 2017 (Cassazione civile, SS.UU., sentenza 27/12/2017 n° 30981), sancisce che i dati sensibili e idonei a rivelare lo stato di salute devono essere trattati con modalità organizzative tali da tutelarli, come ad esempio tecniche di cifratura che rendono non identificabile l’interessato.
In quest’ottica, fermo restando che in Italia il trattamento dei dati sanitari è soggetto a discipline specifiche, e che i documenti che contengono dati sanitari devono essere conservati in archivi ad accesso controllato, e comunque in modo che terzi non possano accedervi, l’utilizzo di drive USB crittografati permette il trasporto di tali dati in sicurezza e nella massima tutela dei soggetti interessati, ove necessario per esigenze mediche e sanitarie.
I drive crittografati possono essere utilizzati per l’acquisizione di dati biometrici con dispositivi indossabili da destinare alla ricerca?
Le raccomandazioni per la tutela dei dati sensibili e della privacy connessi alla raccolta e all’uso dei dati raccolti, anche attraverso i wearable, restano invariate, e anche in questo caso la cifratura resta una delle tecniche essenziali per garantirne la protezione quando tali dati vengono trasportati. I wearable device sono dispositivi indossabili che incorporano sistemi computerizzati e tecnologie avanzate, e vengono utilizzati in ambito sanitario per raccogliere, registrare e analizzare dati di natura sanitaria.
Questi dispositivi possono dunque apportare soluzioni di efficacia ed efficienza rispetto alle sfide che i sistemi sanitari si trovano ad affrontare. I wearable device ad uso clinico apportano a tutti i soggetti interessati, quali pazienti, caregiver e personale medico, un indubbio valore aggiunto, e i dati sesibili che questi dispositivi raccolgono devono essere gestiti e trattati nel pieno adempimento del regolamento. Anche in questo caso i drive crittografati di Kingston, attraverso la tecnica della crittografia, garantiscono la conformità al regolamento e il pieno rispetto della privacy dei soggetti coinvolti.
In particolare, in quei casi in cui i dispositivi indossabili siano provvisti di una porta USB, il drive permetterà di salvare e al contempo crittografare i dati in modo semplice e diretto, e soprattutto senza l’uso di un Pc o di uno schermo.
